Michiel Heijmans

Michiel é sócio da Yoast e nosso COO. Internet veterano. Seu principal objetivo com a maioria de seus artigos é dar o pontapé inicial de sua otimização de sites. Tanta coisa para fazer!

Mesmo se você tenta o seu melhor possível, as chances são de que os hackers vão encontrar uma maneira de hackear seu site. Seguindo o nosso WordPress segurança artigo, vou mostrar a vocês cinco coisas que você deve fazer depois que você encontrar o seu site a ser invadido. Algumas dessas coisas que você provavelmente deve fazer antes mesmo de acontecer!

1. Entenda o que aconteceu

Seu site foi hackeado. Há um número de maneiras que isso pode acontecer. Isso pode ser devido à falta de manutenção (mais sobre isso mais tarde), ou devido ao mau tempo. Independentemente de qual é a causa, é melhor você se preparar. O seu website é em WordPress, e devido a enorme base de usuários de WordPress, hackers como o WordPress também. Eu acho que o meu site pessoal está sob ataque de força bruta um par de vezes por dia. Não me começ mesmo começado no site que você está lendo agora. Isso não é um convite, mas, por favor, perceba que os hackers tentam invadir seu site o tempo todo. Você não são exceção.

Tony Perez fez um webinar sobre como os sites hackeado no início deste ano:

Algumas coisas que pode levar você a acreditar que você está sofrendo um hack podem incluir:

• O Google tem na lista negra do seu website;
• O Google páginas de resultados de pesquisa mostram “Este site pode ser hackeado”;
• O seu acolhimento foi desactivado o seu site;
• Os clientes notificá-lo através de seus locais aplicativos Antivírus;
• Seu website não está funcionando corretamente ou gerar erros estranhos.

Existem algumas ferramentas gratuitas disponíveis para ajudá-lo no processo, como o SiteCheck Scanner.

Saber o que acontece e perceber que você é vulnerável, é metade da batalha. Por favor, leia nossa WordPress segurança artigo e monitorar o seu site em todos os momentos. Em cima disso, você pode querer instalar um firewall de aplicação web e uma aplicação local de segurança plugin.

2. Harden WordPress

Há um monte de coisas que você pode fazer, mas pelo menos o endereço a seguir:

Gerar novas chaves de segurança para WordPress. Estes são, em sua wp-config.php de arquivo e você pode gerar estas aqui. Copie/cole no seu wp-config.php arquivo, salve o arquivo e o passo 1 é feito.

Redefinir suas senhas de usuário. De alguma forma, o hacker conseguiu invadir seu site. Em um ataque de força bruta, o método é apenas para adivinhar o seu nome de usuário (por favor, não use “admin” e senha). Depois de um hack, altere todas as senhas só para ter certeza. Use uma senha exclusiva, com uma estrutura complexa. É sempre melhor usar uma senha gerada aleatoriamente em vez de um ser humano gerado um. Combinar maiúsculas/minúsculas, caracteres especiais e números. WordPress ajuda com que esses dias. Use um gerenciador de senhas como 1Password ou LastPass para armazenar suas senhas.

Reinstalar o núcleo. Pós-compromisso, é altamente recomendável que você remover e reinstalar o núcleo do WordPress manualmente. Não use a atualização/reinstalação do recurso através de seu painel de controle. Em vez disso, use o seu favorito FTP/SFTP cliente e substituir manualmente os arquivos. Atacantes como incorporar os seus arquivos de profundidade em suas estruturas de arquivos, e muito mais comum do lugar é dentro do núcleo diretórios (por exemplo, /wp-admin/ e /wp-includes/).

Reinstalar os seus plugins. Claro, que parece drástica. Mas se você deseja certificar-se de que nenhum código malicioso permanece no seu site, faça uma instalação nova, e espero que todas as adições e inserções do hack desaparecer. Seguimos rígidas diretrizes de segurança aqui no Yoast e temos o nosso software revisto por Sucuri em uma base regular. Ainda é um de melhor esforço, pela forma, mas torna-se de nós pode resolver de imediato quaisquer vulnerabilidades. Todas as coisas consideradas, é nosso trabalho como um desenvolvedor do plugin para fazer o nosso melhor. Infelizmente, nem todos os desenvolvedores de plugins são tão rigorosas como nós somos. Para reinstalar os seus plugins pode ser uma boa idéia.

3. Manter seu site atualizado

Manter seu site atualizado soa como conselhos de SEO: “conteúdo Dinâmico faz com que o seu site melhor classificação”. Mas por favor, mantenha em mente que um saudável técnico de instalar realmente protege o seu website a partir de hacks. Pessoalmente, eu ficar longe de plugins sem atualizações nos últimos dois anos. Há uma razão WordPress.org diz-lhe que. Hackers alvo vulnerabilidades em versões mais antigas do WordPress. A versão do seu WordPress, instalar em seu WordPress readme.html arquivo (para remover), e, por vezes, até mesmo no seu código fonte.

A linha inferior é para manter ambos os plugins e o WordPress atualizado em todos os momentos. Note que esta dica vale para ativar e desativar plugins, como estes são tão vulneráveis. Certifique-se de atualizar todos os seus aplicativos (após a limpeza do seu site), depois de um hack. Desta forma, você terá todas as atualizações de segurança mais recentes e nos torna menos vulneráveis. No entanto, nós regularmente encontrar sites executando versões antigas do WordPress e plugins.

4. Restaurar uma cópia de segurança depois que o hack

Valentin Vesa de Sucuri apontou-me para este momento de discutir o assunto com ele. Criar uma estratégia de cópia de segurança. Por favor, não seja o cara que instalou o Backup para o Dropbox ou o Backup Amigo e nunca foi restaurado de um backup. Certifique-se de que você pode. Monitorar os backups. Armazenar as suas cópias de segurança. Além disso, você tem que testar seus backups agora e, em seguida, para se certificar de que está tudo certo. No momento, uma das nossas favoritas serviços de backup é BlogVault.

Sólida backups torná-lo possível para restaurar rapidamente o seu site, depois de um hack. Pode custar-lhe algumas atualizações, mas pelo menos você vai manter o seu site atualizado e funcionando. Depois de restaurar uma cópia de segurança, siga os conselhos de número três da lista e certifique-se de atualizar o seu WordPress instalar e todos os seus plugins.

5. Não tente isso em casa

Não tome segurança de ânimo leve. Na maioria dos casos, é uma negociação de seu próprio. Você está provavelmente não o mais pessoa capaz, para cuidar de ti. Webmasters, web agências e proprietários de empresas têm outras qualidades que importa. Se você contratar uma empresa de segurança como a Sucuri para cuidar de seu site de negócios de segurança, você pode se concentrar nas coisas que você é bom.

E sim, a qualidade de serviços de segurança custam dinheiro. Mas acho que de todo o tempo que você estiver salvando em não ter que se preocupar, ou de lidar com um corte de si mesmo. Para torná-lo ainda melhor para você, Sucuri, tem uma boa oferta para os nossos leitores:

Mais um motivo para impedir que seu site seja invadido, em vez de lidar com a segurança depois que o hack já está feito!