O que é um ataque de Clickjacking e como proteger seu site WordPress?

A internet se baseia na confiança. Quando um usuário visita um site, ele presume que os botões em que clica executam as ações indicadas. No entanto, os cibercriminosos desenvolvem constantemente métodos para explorar essa confiança. Um desses métodos enganosos é o ataque de clickjacking.

O clickjacking ocorre quando um atacante engana um usuário, fazendo-o clicar em algo diferente do que pretendia clicar.

Ao sobrepor uma camada transparente ou um iframe invisível sobre uma página legítima, hackers podem desviar cliques destinados a um botão falso ou link inofensivo. Isso pode levar a consequências graves, como o download de malware, a transferência de fundos ou curtidas involuntárias em redes sociais.

Se você é proprietário de um site, entender essa ameaça é crucial. Este guia aborda os mecanismos dessa técnica de alteração da interface do usuário, como detectar vulnerabilidadese as etapas específicas para proteger seu site WordPress usando o cabeçalho X-Frame-Options e a Política de Segurança de Conteúdo (CSP).

Entendendo os ataques de Clickjacking: Os riscos da alteração da interface do usuário

O termo "clickjacking" é uma junção de "click" (clique) e "hijacking" (sequestro). Nos círculos de segurança, é formalmente conhecido como ataque de redirecionamento de interface do usuário.

Esse nome descreve perfeitamente o mecanismo: o atacante altera a interface do usuário (IU) para ocultar o site alvo real.

Em um ataque de clickjacking padrão, o atacante cria uma página maliciosa. Essa página carrega uma página alvo, geralmente uma página sensível como uma página de login bancário ou um painel de configurações, dentro de um iframe.

O atacante configura o iframe para ser totalmente transparente. Em seguida, ele coloca seu próprio conteúdo visível, como um reprodutor de vídeo ou uma oferta de prêmio gratuito, diretamente abaixo ou acima do iframe invisível.

O usuário clica no que pensa ser um botão "Jogar" ou um link "Resgatar Prêmio". Na realidade, ele está clicando em uma página invisível carregada de outra origem.

Como o computador e o navegador do usuário ainda armazenam os cookies do site de destino, a ação é autenticada e processada imediatamente. O usuário não tem ideia de que acabou de realizar uma ação de alto risco.

Este ataque explora a capacidade da web de enquadrar conteúdo. Embora o enquadramento seja adequado para incorporar mapas ou vídeos, torna-se perigoso quando uma página da web não restringe explicitamente quem pode enquadrá-la.

Sem um controle adequado, qualquer site pode se tornar vítima de manipulação da interface do usuário.

Leia mais: O verdadeiro custo dos erros de segurança do WordPress

Como funcionam os ataques de clickjacking usando iframes e sobreposições invisíveis?

Para compreender plenamente o perigo, precisamos analisar a execução técnica. O cerne de um ataque de clickjacking reside na propriedade CSS de opacidade.

Um atacante cria um site falso. Este site serve como isca. Nesta página, o atacante usa HTML para carregar a página web da vítima dentro de um iframe.

O código pode parecer inofensivo, mas o CSS conta uma história diferente. O atacante define a opacidade do iframe para 0.0. Isso cria um iframe invisível.

Embora o conteúdo emoldurado esteja tecnicamente presente, o usuário não consegue vê-lo. O atacante então posiciona essa camada invisível precisamente sobre um botão visível em seu site falso.

Por exemplo, imagine que um atacante queira forçá-lo a excluir seu blog. Ele carrega a página "Excluir conta" do seu blog em um iframe invisível. Ele posiciona o botão invisível "Excluir" diretamente sobre um botão visível "Ganhe um presente" em seu site malicioso.

Quando o usuário clica no botão “Ganhe um Presente”, o evento de clique atravessa os elementos visíveis e atinge a janela superior do frame invisível. O navegador interpreta isso como um clique legítimo no botão “Excluir”. Como o usuário provavelmente está conectado no mesmo navegador, o comando é executado instantaneamente sem o seu conhecimento.

Esse método permite que os atacantes contornem os tokens CSRF (Cross-Site Request Forgery) em alguns casos, já que o navegador envia a solicitação como se o usuário tivesse clicado fisicamente no botão da página legítima.

Leitura complementar: Como usar a proteção contra malware para proteger seu site de forma eficaz

Principais tipos de ataques de clickjacking e variações comuns

Embora a sobreposição básica seja o método mais comum, existem diversas variações de clickjacking projetadas para explorar comportamentos específicos ou vulnerabilidades do navegador.

Likejacking: Explorando interações nas redes sociais

Likejacking é uma forma específica de clickjacking que tem como alvo sociais . O atacante busca manipular o usuário para que ele "curta" ou "compartilhe" uma página sem o seu consentimento.

Nesse cenário, o iframe invisível contém um do Facebook ou um do Twitter . O atacante posiciona essa camada transparente sobre um vídeo ou uma imagem em uma página maliciosa.

Quando o usuário tenta clicar em reproduzir o vídeo, ele inadvertidamente "curte" a página do atacante. Isso aumenta a credibilidade social de sites maliciosos e facilita a disseminação de spam ou golpes para os amigos do usuário.

Vulnerabilidades de Clickjacking Aninhado e X-Frame-Options

O clickjacking aninhado visa páginas da web que tentam usar scripts de quebra de frames, mas não os implementam corretamente. Alguns navegadores antigos ou configurações específicas permitem que os atacantes burlem esses scripts.

Nessa variação, o atacante aninha o iframe alvo dentro de dois frames diferentes. Ao manipular a forma como o navegador lida com a localização e a navegação da janela, o atacante impede que o site legítimo "saia" do frame.

Isso evidencia por que depender exclusivamente de scripts do lado do cliente não é uma boa prática; cabeçalhos robustos do lado do servidor são necessários.

Leitura complementar: Prevenindo ataques de força bruta contra sites WordPress

CursorJacking, MouseJack e outras técnicas enganosas

CursorJacking é uma variação altamente enganosa. Nela, o atacante substitui o cursor real do mouse por um cursor personalizado falso. Usando CSS e JavaScript, o atacante desloca o cursor real em relação ao falso.

O usuário tem a percepção de que o cursor do mouse está sobre um link seguro. No entanto, o cursor real (que pode estar invisível ou deslocado) está sobre um elemento malicioso. Quando o usuário clica, a ação ocorre na posição do cursor real, e não na posição falsa visível.

Da mesma forma, outras técnicas envolvem mover rapidamente a moldura invisível para rastrear o mouse (MouseJack), garantindo que o botão malicioso esteja sempre sob o cursor, independentemente de para onde o usuário o mova.

Saiba mais: Correção virtual no WordPress: como funciona e por que é importante

Como detectar vulnerabilidades de clickjacking em suas páginas da web?

Antes de prevenir ataques de clickjacking, você precisa verificar se seu site é vulnerável. Felizmente, essa verificação é simples.

A verificação principal consiste em verificar se sua página da web pode ser carregada dentro de um iframe em uma origem diferente. Você pode fazer isso criando um arquivo HTML simples em sua máquina local:

<html> <body> <iframe src="https://yourwebsite.com" width="500" height="500"></iframe> </body> </html>

Abra este arquivo em navegadores modernos, como o Chrome ou o Firefox. Se o seu site carregar normalmente dentro da caixa, você está vulnerável a um ataque de clickjacking.

Um site seguro deve recusar a conexão ou exibir um espaço em branco, indicando que o navegador bloqueou o conteúdo emoldurado.

Você também pode usar scanners de segurança online ou extensões de navegador projetadas para testes de penetração. Essas ferramentas analisam o cabeçalho de resposta HTTP do seu site.

Eles procuram especificamente pela ausência do cabeçalho X-Frame-Options ou do cabeçalho Content Security Policy. Se esses cabeçalhos estiverem ausentes, a ferramenta sinalizará seu site como de alto risco.

Prevenção no lado do servidor: usando X-Frame-Options para restringir o enquadramento

A defesa mais tradicional e amplamente aceita contra clickjacking é o cabeçalho X-Frame-Options (XFO). Este é um cabeçalho de resposta enviado pelo servidor web que informa ao navegador se uma página pode ser renderizada em um determinado frame.<frame> ,<iframe> ,<embed> , ou<object> .

Quando um navegador carrega uma página, ele verifica esse cabeçalho. Se a política for violada, o navegador garante a segurança do usuário não exibindo o conteúdo.

Normalmente, são utilizados três valores com o cabeçalho X-Frame-Options:

• NEGAR: Esta é a configuração mais restritiva. Ela impede que qualquer domínio incorpore a página solicitada em um frame. Mesmo que a página tente incorporar a si mesma em um frame, a operação falhará. Isso é ideal para páginas sensíveis que nunca precisam ser incorporadas.

• SAMEORIGIN: Isso permite que a página seja exibida apenas por páginas com a mesma origem (mesmo domínio, protocolo e porta). Este é o método mais comum para proteger sites WordPress, pois permite incorporar seu próprio conteúdo enquanto bloqueia ataques externos.

• ALLOW-FROM uri: Esta diretiva está obsoleta e tinha como objetivo permitir o enquadramento a partir de um URI específico. No entanto, ela não é suportada por muitos navegadores modernos e, em geral, deve ser evitada em favor de padrões mais recentes.

Definir X-Frame-Options como SAMEORIGIN geralmente é suficiente para impedir a grande maioria dos ataques de clickjacking. Isso garante que um invasor não consiga carregar sua página de login em seu site falso.

No entanto, o XFO tem limitações. Ele permite efetivamente apenas um domínio (o mesmo domínio) ou nenhum. Falta granularidade se você precisar habilitar vários parceiros específicos para enquadrar seu conteúdo. Para isso, precisamos de uma solução mais moderna.

Saiba mais: Como criar uma página protegida por senha no WordPress

Proteção Avançada: Política de Segurança de Conteúdo (CSP) e Ancestrais de Quadro

Embora o X-Frame-Options seja eficaz, a Política de Segurança de Conteúdo (CSP) é o futuro da defesa contra clickjacking. A CSP é uma camada de segurança que ajuda a detectar e mitigar vários tipos de ataques, incluindo Cross-Site Scripting (XSS) e injeção de dados.

Para evitar ataques de clique (clickjacking), utilizamos a diretiva frame-ancestors. Essa diretiva especifica os elementos pais que podem incorporar uma página.

Implementando a diretiva Frame-Ancestors para controle granular

A diretiva frame-ancestors oferece muito mais flexibilidade do que a X-Frame-Options. Ela permite definir uma lista de domínios que têm permissão para enquadrar seu conteúdo.

Por exemplo, um cabeçalho CSP (Content Security Policy) pode ter a seguinte aparência:

Política de segurança de conteúdo: ancestrais de quadros 'self' https://trusted-partner.com;

Neste exemplo:

• 'self' funciona como a diretiva XFO SAMEORIGIN, permitindo que o mesmo domínio enquadre o conteúdo.
• O site https://trusted-partner.com permite que um site externo específico emoldure o conteúdo.

Você também pode usar curingas ou permitir todos HTTPS usando `allow from https`, embora a listagem estrita seja mais segura. Esse controle granular é vital para sites corporativos que dependem de integrações entre sites.

Por que os ancestrais de quadros CSP são superiores aos scripts de quebra de quadros?

No passado, os desenvolvedores usavam JavaScript para interromper o enquadramento (frame-busting). Esses scripts eram executados no lado do cliente e verificavam se a localização da janela superior correspondia à localização da janela atual. Caso contrário, tentavam sair do enquadramento.

Os atacantes rapidamente encontraram maneiras de neutralizar esses scripts. Navegadores como o Internet Explorer (em versões mais antigas) ou recursos como o atributo sandbox do HTML5 em iframes podiam bloquear a execução do script de quebra de frames, tornando a defesa inútil.

Os ancestrais de frames e o X-Frame-Options são controles do lado do servidor. O atacante não pode desativá-los porque o navegador impõe a regra antes de renderizar o conteúdo. O navegador lê o cabeçalho da resposta e simplesmente se recusa a exibir o elemento malicioso da página.

O uso de `frame-ancestors` da CSP é a melhor prática atual, pois é padronizada em todos os navegadores modernos. Embora `X-Frame-Options` ainda seja útil para navegadores antigos, `frame-ancestors` tem prioridade em navegadores que suportam ambos.

Passo a passo: Protegendo seu site WordPress contra Clickjacking

Para proteger um site WordPress, é necessário adicionar os cabeçalhos corretos. Você não precisa ser um desenvolvedor para implementar essas alterações, mas é recomendável sempre fazer um backup do seu site antes de editar os arquivos do servidor.

Passo 1: Configurando os cabeçalhos em .htaccess ou functions.php

Se o seu site WordPress estiver hospedado em um servidor web Apache, você pode editar o arquivo .htaccess localizado no diretório raiz.

Para implementar o cabeçalho X-Frame-Options, adicione esta linha:

<IfModule mod_headers.c>O cabeçalho sempre adiciona X-Frame-Options SAMEORIGIN.</IfModule>

Para implementar a Política de Segurança de Conteúdo com ancestrais de quadro:

<IfModule mod_headers.c>O cabeçalho sempre adiciona Content-Security-Policy "frame-ancestors 'self';"</IfModule>

Essa configuração garante que somente seu próprio site possa exibir suas páginas em um frame. Para permitir que um parceiro participe, basta adicionar o URL dele após 'self'.

Alternativamente, você pode adicionar cabeçalhos através do arquivo functions.php do WordPress no seu tema ativo. Este método funciona independentemente do tipo de servidor (Apache ou Nginx), desde que o PHP suporte o processamento dos cabeçalhos.

function add_security_headers() { header('X-Frame-Options: SAMEORIGIN'); header("Content-Security-Policy: frame-ancestors 'self';"); } add_action('send_headers', 'add_security_headers');

Este código se integra ao de geração de cabeçalhos do WordPress e injeta as diretivas de proteção em todas as páginas da web exibidas.

Etapa 2: Utilizando plugins de segurança do WordPress para defesa do lado do cliente

Se editar o código parecer muito arriscado, você pode usar plugins de segurança do WordPress. Muitos pacotes de segurança abrangentes adicionam esses cabeçalhos automaticamente.

• All-In-One Security (AIOS): Este plugin possui configurações específicas para proteção de iframes. Você pode ativar a opção "Negar consultas inválidas" e regras de firewall específicas, que geralmente incluem o gerenciamento de opções de frames.

• Headers Security Advanced & HSTS WP: Este plugin dedicado permite configurar cabeçalhos HTTP específicos sem a necessidade de modificar o código. Você pode selecionar X-Frame-Options em um menu suspenso e defini-lo como SAMEORIGIN.

Embora os plugins sejam convenientes, certifique-se de que eles configurem o cabeçalho de resposta corretamente.

Alguns plugins podem adicionar apenas meta tags, que são menos eficazes para frames ancestrais (CSP via meta tags não suporta frames ancestrais). Sempre verifique o resultado usando um verificador de cabeçalho online.

Conclusão

A ameaça de clickjacking persiste porque explora a percepção visual do usuário, e não uma falha de software. Enquanto os navegadores suportarem iframes, os atacantes continuarão tentando alterar a interface do usuário.

Para o proprietário de um site, ignorar essa vulnerabilidade significa colocar em risco a segurança dos seus usuários e a reputação do seu site. Um usuário que acaba baixando malware ou perdendo dinheiro por causa de um botão no seu site perderá a confiança na sua marca.

A solução é uma defesa em camadas.

• Auditoria: Analise regularmente suas páginas da web para verificar se elas podem ser enquadradas.

• Implementar XFO: Use o cabeçalho X-Frame-Options definido como SAMEORIGIN para proteger usuários em navegadores legados e outros navegadores que podem não oferecer suporte completo ao CSP.

• Implementar CSP: Adote a diretiva frame-ancestors da Política de Segurança de Conteúdo para um controle robusto e granular em navegadores modernos.

• Monitoramento: Utilize plugins de segurança para garantir que os cabeçalhos permaneçam ativos após atualizações de tema ou servidor.

Ao controlar a forma como seu conteúdo é apresentado, você desmantela efetivamente as camadas invisíveis das quais os hackers dependem. Você garante que, quando um usuário clica, ele esteja realizando as ações desejadas, protegendo-o de ser vítima de um dos ataques mais enganosos da internet.

Perguntas frequentes sobre um ataque de Clickjacking