O seu site WordPress é seguro? Os sites do WordPress são vulneráveis?
Publicados: 2017-03-09Duas ou três décadas atrás, o roubo se limitava a arrombar e entrar para roubar o dinheiro ou objetos de valor de alguém. Os que seriam travessuras e ladrões de hoje assumem a forma de hackers. Qualquer pessoa que encontrar e explorar vulnerabilidades em software para fins de ganho pessoal ou por razões políticas.
Antes de começar, você deve saber que este artigo não aborda os detalhes da segurança do WP, mas discute as causas das vulnerabilidades do WordPress. Se não for isso que você está procurando, sugiro que você leia - “Aumentando a segurança do WordPress - um guia completo para proteger sites do WordPress“. No entanto, devo declarar que compreender a natureza das vulnerabilidades do WP no passado fornece uma ótima visão sobre como você pode garantir os protocolos de segurança do seu site.
Por que as pessoas invadem sites e centros de dados? Invadir sites que contêm informações de clientes, IDs de e-mail, números de cartão de crédito etc. é mais lucrativo do que roubar um banco. Se você administra um site razoavelmente bem-sucedido, tenho certeza de que centenas, senão milhares de tentativas de obter acesso às informações do seu site já foram feitas.
Mais recentemente, o AshleyMadison.com foi hackeado e os detalhes de 37 milhões de usuários foram roubados. Os hackers exigiram que o site fosse encerrado, caso contrário, eles divulgarão os detalhes das informações do usuário roubado, incluindo fantasias sexuais. Isso dá a você uma amostra do tipo de destruição que um hacker pode causar apenas obtendo acesso às informações.
A segurança na Web é um tema muito importante e cada vez mais relevante devido ao número de sites que surgem para coletar informações pessoais de seus usuários.
Tanto quanto 65% da web é executado com WordPress como o Sistema de gerenciamento de conteúdo, então hoje irei discutir a segurança do WordPress e como os sites WP foram direcionados ou hackeados no passado.
Por que investir em boas práticas de segurança?
- Você deve isso a seus clientes e clientes que lhe confiam informações pessoais confidenciais para mantê-las seguras.
- Seu site é hackeado - você perde dinheiro.
- Seu site foi hackeado - suas classificações de mecanismo de pesquisa quase levam uma viagem de ida para o inferno.
Sites WordPress são hackeados aos milhares, senão às centenas de milhares. Nem todo site relata o fato de ter sido hackeado no passado. Não é um grande endosso para a marca deles, como você pode imaginar.
Eu gostaria de esclarecer a necessidade deste artigo sobre segurança do WordPress.
De acordo com um estudo, compartilhado por Sandro Gucci (fundador da Enable Security).
- 73,2% das instalações mais populares do WordPress são vulneráveis a vulnerabilidades que podem ser detectadas usando ferramentas automatizadas gratuitas.
- Apenas 7.814 sites (18,55%) atualizaram para o WordPress 3.6.1, esta era a versão mais recente do WP quando o teste foi realizado.
- 13.034 sites (30,95%) ainda estavam executando uma versão vulnerável do WordPress, versão 3.6. O WordPress 3.6 tinha 5 vulnerabilidades conhecidas na época.
E se você estivesse se perguntando, bem, isso é apenas uma caracterização generalizada injusta de pequenos sites desconhecidos em algum lugar da dark web, você estaria enganado. As estatísticas foram produzidas com base em um estudo de cerca de 42.000 sites WordPress no site Alexa's Top One Million. Esse é um grande número de sites vulneráveis para os sites supostamente mais visitados na web. Esses sites coletam uma grande quantidade de informações sobre seus visitantes e assinantes.
As estatísticas eram verdadeiras em setembro de 2013, não acho que teria se desviado muito desde então e, mesmo que tenha, as estatísticas exibidas aqui mostram a escala dos problemas de segurança que afetam o WordPress.
Se você quiser mais evidências que comprovem que o WordPress pode ser comprometido. Remeto a você um estudo da Netcraft,
- Em fevereiro de 2014, havia 12.000 blogs WordPress servindo como plataformas para sites de phishing.
- Mais de 8% de todos os URLs de malware bloqueados pela Netcraft para distribuição de malware hospedado na web eram blogs do WordPress.
Devo salientar que nenhum desses blogs foi executado no Wordpress.com Automattic. Isso deve ilustrar claramente que mesmo o WordPress, se não for usado com cuidado e algum conhecimento de segurança do WP, pode ser vulnerável. Outra razão para isso pode estar relacionada ao fato de que todos os blogs hospedados no wordpress.com são atualizados quase assim que as atualizações do WordPress são lançadas. Deve-se observar que, desde então, as atualizações automáticas do WordPress foram introduzidas no WP versão 3.7 para proteger os sites contra exploits de dia zero.
E mesmo depois disso, houve uma série de problemas de segurança que afetaram o WordPress. Confira esta lista de vulnerabilidades do WordPress em diferentes versões da plataforma.
Agora não há nada que você possa fazer para evitar que isso aconteça, novas vulnerabilidades quase sempre serão descobertas. Obviamente, a equipe principal do WP levou a segurança muito a sério e tornou o WordPress muito mais seguro.
Mas, como acontece com qualquer outro software popular, explorar vulnerabilidades torna-se mais lucrativo quando mais pessoas começam a usá-las.
Não confia em mim? Se você acredita que de alguma forma o WordPress ficará de repente livre de todas as vulnerabilidades, verifique este gráfico!
Embora o número de vulnerabilidades tenha diminuído ao longo do tempo desde seus picos em 2007 e 2014, o incentivo para descobrir novas vulnerabilidades e explorações está sempre em ascensão devido à lucratividade crescente devido à popularidade crescente do WordPress.
O WordPress pode ser seguro fora da caixa, mas depois de adicionar tantos plug-ins / temas e códigos personalizados, o número de vulnerabilidades começa a crescer com grande pressa.
Dito isso, podemos fazer pequenas alterações em seu WordPress, para torná-lo muito mais seguro. Primeiro, precisamos ter um conhecimento completo da segurança do WordPress, o que é muito útil para descobrir as causas da falha na segurança.
Você pode se surpreender ao saber que, muito raramente, a plataforma principal do WP é a falha nos casos de violação de segurança. É muito mais provável que algo que você adicionou ao seu WP crie uma vulnerabilidade que os hackers possam explorar.
Como os sites do WordPress são comprometidos?
A dificuldade em garantir segurança total é que não existe tal coisa.
Supondo que seu WordPress seja totalmente seguro, você ainda tem seu Apache, cliente FTP, MySQL e qualquer software executado em seu servidor com o qual você precisa se preocupar. Seu site é tão seguro quanto seu link mais fraco. E isso inclui a qualidade do software do seu host, os temas e plug-ins nos quais seus sites operam.
Eu gostaria de ter estatísticas mais recentes que posso apontar para você também, mas este estudo apresentado como um infográfico no blog do WpWhiteSecurity fornece uma grande quantidade de insights sobre como os sites WordPress são hackeados e o que os torna vulneráveis.
O estudo foi realizado com base nas informações de 170.000 sites que foram hackeados em 2012. Um aumento de 18% no número de hacks em relação ao ano anterior (2012), o engraçado é que o número de vulnerabilidades não aumentou na mesma porcentagem. Mas mesmo um pequeno aumento nas vulnerabilidades afeta muito mais sites, devido ao aumento do uso de WordPress e produtos baseados em WordPress.
- 41% do WordPress hackeado foi hackeado por meio de uma vulnerabilidade de segurança em sua plataforma de hospedagem.
- 29% foram hackeados por meio de um problema de segurança no tema WordPress que estavam usando.
- 22% foram hackeados por um problema de segurança nos plug-ins do WordPress que estavam usando.
- 8% foram hackeados porque tinham uma senha fraca.
- Do exposto, podemos concluir que mais de 51% dos sites WordPress hackeados foram hackeados por meio de uma vulnerabilidade nos temas ou plug-ins do WordPress que estavam usando.
A esmagadora maioria dos hacks ocorreu como resultado da instalação de software na forma de plug-ins, temas e porque os provedores de serviços de hospedagem na web não conseguiram aumentar a segurança no servidor.
Não adianta discutir medidas para proteger o seu site, antes de abordar quais são as boas opções que você tem em termos de segurança quando se trata de hospedagem, temas e plugins. E definitivamente discutirei como você pode encontrar um bom software de terceiros e hospedagem segura para o seu site, antes de começar a recomendar medidas de segurança específicas para fortalecer a segurança do WP.
Conclusão
Os sites WordPress raramente são vulneráveis devido a erros no código principal do sistema de gerenciamento de conteúdo. Mas um site não opera apenas com base no sistema de gerenciamento de conteúdo, ele requer um host para hospedar o CMS na web, temas para torná-lo sofisticado e plug-ins para adicionar as funções necessárias. Agora, adicionar várias camadas de software de terceiros à instalação do WordPress começa a tornar a sua segurança um pouco porosa, se não for feito corretamente.
O núcleo do WordPress, os plug-ins e temas e o host da web precisam se comunicar para manter o seu site WordPress funcionando. Essa interação às vezes tem falhas e torna os sites vulneráveis.
Claro, 8% dos sites podem estar comprometidos devido a senhas fracas, mas há uma quantidade esmagadora de evidências que sugerem que adicionar plug-ins / temas mal escritos ou um host que roda em software desatualizado é a principal causa para uma grande porcentagem de todos os sites WordPress hackeado ou desligado.
Agora que estabelecemos alguma clareza com relação às causas das vulnerabilidades do WordPress, como parte da próxima postagem da série WP Security, discutirei as etapas que você precisa realizar para aumentar a segurança do WordPress.
Se você já teve seu site WordPress comprometido por um hack ou foi vítima de um ataque DDOS, compartilhe os detalhes. Tanto Aigars quanto eu tentaremos remediar o problema, se estiver em nosso poder. Saúde