Como identificar plugins vulneráveis no seu site WordPress

Com o aumento do numero de sites criados em WordPress, vem também um maior número de plugins para adicionar funcionalidades ao sistema de criação de conteúdos mais usados do mundo.

E com isso, vêm também vulnerabilidades das quais os hackers se aproveitam para colocar um site inoperacional, para serem roubados dados de utilizadores ou, como é mais comum, redirecionar os seus visitantes para sites com malware.

Isto pode causar um impacto muito negativo no seu site, quer seja um pequeno blogger ou uma média empresa, e existem formas de identificar se o seu site está vulnerável.

 

Como verificar vulnerabilidades

O novo produto lançado pela Automattic com o nome de Jetpack Protect, faz um scan diário do seu site de forma gratuita. Para o instalar, basta instalar um plugin com o mesmo nome.

No quadro seguinte, selecione a opção da direita (free) e aguarde pelo scan.

 

Identificar os plugins vulneráveis e corrigi-los

Após o scan ser concluído terá uma lista de plugins vulneráveis, e duas opções simples: removê-los ou atualizá-los.

Se optar pela remoção, deverá ir a Plugins e proceder à sua remoção, encontrando outro plugin que faça o mesmo que o plugin que está a remover.

Se por outro lado pretender atualizar o plugin, deverá ir a Plugins e atualizar ou enviar uma nova versão do seu plugin. No caso de plugins premium deverá ir ao site oficial onde comprou o plugin e efetuar o download da nova versão.

Pode ver os detalhes de cada problemas ao clicar em cada ameaça encontrada:

 

Se o seu site já tiver sido atacado…

Existem casos onde apenas damos por este problema quando já é tarde de mais. Deverá fazer uma limpeza completa do seu site, procedendo à remoção e envio de todos os ficheiros core do WordPress, plugins e themes (não deve remover os uploads em wp-content/uploads/). No fim, efetuar um scan com o plugin Wordfence, para averiguar se existem alguns ficheiros maliciosos detetados (o plugin requer registo).

Se é cliente PTServidor temos este serviço chave-na-mão disponível para si, sob orçamento, onde fazemos a limpeza do seu site. Para isso abra um ticket na sua área de clientes ou envie-nos um e-mail do e-mail associado na área de clientes.

 

Dica extra: RGPD

Caso considere que tenham sido acedidos dados pessoais de terceiros, como por exemplo bases de dados de lojas online, deverá efetuar uma comunicação aos seus clientes e à CNPD consultando esta informação.

Esta orientação não dispensa a consulta de um advogado ou outro aconselhamento legal.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.