A maioria dos administradores de sites nunca verifica seu WordPress em busca de código malicioso (também conhecido como malware). É como passar a vida sem fazer um checkup de um médico ou dentista. Pode ficar tudo bem por um tempo, mas mais cedo ou mais tarde o desastre acontecerá porque você não estava prestando atenção!
Por que se preocupar em digitalizar o WordPress em busca de código malicioso?
Alexa relatou que mais de 40.000 instalações de WordPress em seus 1 milhão de sites principais eram vulneráveis a hackers . As estatísticas também mostram que, a qualquer momento, cerca de 18 milhões de sites estão infectados com malware . Um por cento de todos os sites agora estão com febre alta por causa de um coquetel de malware em seu tema, plug-in ou código wordpress.
O seu site WordPress é um deles? É hora de descobrir usando essas três ferramentas para verificar o WordPress em busca de código malicioso e malware.
1. Hog the Web’s Free WordPress Security Scanner
Assim como ficamos doentes por causa de algo que comemos ou de um organismo estranho se aconchegando em nossos corpos, seu site WordPress fica com muita febre quando um plugin ou tema injeta código malicioso na pasta de instalação . Esse código malicioso pode fazer qualquer coisa, desde roubar senhas até colocar seu site off-line.
A ferramenta gratuita Hog the Web vai à raiz de todas as infecções por malware do WordPress, oferecendo a você uma maneira de verificar o WordPress em busca de código malicioso. Ele também verifica plug-ins e temas em busca de qualquer código suspeito, assim como um médico faz exames de sangue para descobrir o que está afetando seu paciente.
Com o scanner, você pode:
- Verifique se há plug-ins inseguros nas instalações do WordPress
- Verifique se você está executando um firewall de site adequado
- Verifique se há configurações de servidor inseguras
- Pesquise infecções por malware
- Verifique o status da sua lista negra
Se você fosse fazer uma auditoria manual de segurança do seu site WordPress, essas são as etapas exatas que você deve seguir. Mas demoraria MUITO mais tempo para verificar cada linha de código nos arquivos de tema e plug-in do seu site manualmente.
Aqui está uma prévia dos resultados da verificação:
A ferramenta envia um relatório detalhado para sua caixa de entrada de e-mail. No relatório, você obtém muitos detalhes úteis sobre o status de segurança do seu site, junto com algumas dicas sobre como resolvê-los.
Logo no início do relatório, você obtém uma análise detalhada de qualquer malware que possa ter se infiltrado na instalação do WordPress. Você também obtém o status da lista negra do seu site, bem como vários diagnósticos de integridade, como se você tem um firewall em execução, o ambiente do sistema operacional do seu servidor e a versão do WordPress. Verifique-os para ter certeza de que nada está desatualizado.
Outra informação interessante que vale a pena conferir é a lista de links internos e arquivos JavaScript descobertos pela ferramenta. Se você vir algum link ou arquivo que não reconhece, isso pode ser um sinal de infecção, especialmente se os links ou arquivos JavaScript geram iframes ou incorporam objetos no site.
Com o scanner Hog The Web, você obtém todas as informações de que precisa para proteger seu site WordPress contra ataques.
O que realmente diferencia este scanner do resto é a precisão. Você não recebe falsos positivos, o que significa que não vai perder horas tentando consertar algo que não está quebrado em primeiro lugar.
Sempre que você suspeitar da segurança de um site ou apenas quiser ficar tranquilo, analise seu site com o verificador de segurança de sites gratuito Hog The Web em busca de traços de código malicioso, apenas para ser seguro.
2. PC Risk Website Malware Scanner
O verificador de malware de sites por risco de PC, embora não seja dedicado a escanear o WordPress especificamente em busca de arquivos maliciosos, faz um trabalho louvável de detectar infecções comuns. O mecanismo de varredura verifica seu site em busca de atividades maliciosas, iframes ocultos, kits de exploração populares, status na lista negra e arquivos infectados.
Aqui está um exemplo de digitalização de um site WordPress típico; eles têm 27 arquivos potencialmente suspeitos. Dê uma olhada:
Essa é uma cena de alguns dos arquivos potencialmente suspeitos descobertos pelo PC Risk. Ele mostra um arquivo PDF contendo código potencialmente suspeito na forma de declaração CSS oculta. Vamos aprofundar mais e descobrir por que essa declaração CSS oculta é potencialmente prejudicial, despejando o código de um dos arquivos suspeitos.
Aqui está o dump da página de contato que o PC Risk relatou como tendo arquivos potencialmente suspeitos:
PC Risk sinalizou a declaração CSS no plug-in FancyBox no site de exemplo.
Podemos então verificar se há alguma vulnerabilidade conhecida no plug-in Fancybox no Banco de dados de vulnerabilidades do WordPress aqui. Isso mostra que havia uma vulnerabilidade relatada, mas já foi corrigida. Uma vez que este site está usando a última versão corrigida do plug-in FancyBox, ele não representa uma ameaça ao nosso site ou a qualquer outro site.
Para concluir, o scanner de sites PC Risk parece adequado, mas você terá que lidar com uma série de falsos positivos como nós. Ele pode relatar alguns arquivos como potencialmente maliciosos ou suspeitos, mesmo quando são benignos. Mas ei, até mesmo os médicos podem fazer diagnósticos errados ocasionais.
3. Foregenix Website Security Scanner
O verificador de segurança de sites da FGX funciona de maneira muito semelhante aos outros verificadores desta lista. Tudo o que você precisa fazer é inserir a URL do site que você deseja verificar, clicar em scan e esperar que o scanner faça seu trabalho.
Este é o relatório que recebemos após executar um site WordPress padrão por meio do Foregenix:
Esse é um relatório bem detalhado. Ele até mostra o status histórico de segurança de um site, como você pode ver na parte esquerda do relatório.
Certifique-se de verificar todo o relatório clicando nas guias no lado esquerdo da tela após usar o Foregenix. Depois de executar a verificação neste site de exemplo, Foregenix não encontrou nada de errado com a configuração do WP ou os plug-ins e temas usados. No entanto, ele apontou alguns cabeçalhos ruins.
O scanner Foregenix funciona em vários sites além dos baseados em WordPress. Portanto, mesmo se você estiver executando um CMS personalizado, ainda poderá obter um relatório de segurança com o Foregenix. O relatório pode não ser tão preciso, especialmente se você estiver executando um CMS personalizado cujo código não está aberto ao público. O mecanismo de varredura só pode verificar se o seu site tem um certificado SSL válido, se ele está na lista negra ou se é suscetível a ataques comuns como injeção de SQL e script entre sites. Fora isso, você não terá uma verificação completa de integridade em seu site CMS personalizado quando usar o Foregenix.
Em conclusão
Como administrador de um site, você deve ser proativo para manter o seu site WordPress seguro. Isso significa varrê-lo regularmente em busca de vulnerabilidades, malware e quaisquer outros problemas de segurança. Essa é a única maneira de você ficar um passo à frente dos hackers determinados a transformar sua instalação WP em um robô expelidor de spam.
Lembre-se de que executar uma verificação de segurança em seu site pode não detectar todos os malwares. Alguns tipos de malware estão tão bem escondidos que mesmo as melhores ferramentas de segurança não conseguem descobri-los. Sempre entre em contato com um especialista em segurança do WordPress sempre que suspeitar que seu site foi invadido, mesmo se as ferramentas acima não estiverem detectando nada.
Aprenda as 8 etapas simples para manter seu site seguro neste artigo.
E não se esqueça de verificar se há malware em seu site do wordpress aqui !
A postagem 3 das melhores ferramentas gratuitas para digitalizar WordPress para código malicioso apareceu primeiro em Hog The Web .
