Destaque do recurso do iThemes Security Pro - Gerenciamento de versão

Publicados: 2021-04-13

Nas postagens do Feature Spotlight, destacamos um recurso no iThemes Security Pro e compartilhamos um pouco sobre por que desenvolvemos o recurso, para quem se destina e como usá-lo.

Hoje vamos abordar o Gerenciamento de Versão, uma ótima ferramenta que torna o gerenciamento de atualizações do WordPress ou temas e plug-ins muito fácil.

Por que desenvolvemos o gerenciamento de versões

Manter o software atualizado é uma parte essencial de qualquer estratégia de segurança. As atualizações não são apenas para correções de bugs e novos recursos. As atualizações também podem incluir patches de segurança críticos. Sem esse patch, você está deixando seu telefone, computador, servidor, roteador ou site vulnerável a ataques.

Patch Tuesday

Patch Tuesday é o termo não oficial para se referir às correções regulares de bug e segurança que a Microsoft lança na segunda terça-feira de cada mês. É fantástico que a Microsoft libere correções de segurança em um ritmo tão confiável. A Patch Tuesday também é o dia em que as vulnerabilidades de segurança dos patches da Microsoft são divulgadas publicamente.

Confira a seção O que atualizar e como automatizar suas atualizações do e-book The Ultimate Guide to WordPress Security in 2020 para aprender como aplicar as atualizações Patch Tuesday automaticamente.

Explorar quarta-feira

Na quarta-feira seguinte ao Patch Tuesday, é comum ver muitos invasores explorando uma vulnerabilidade previamente conhecida em sistemas desatualizados e sem patch. Portanto, a quarta-feira seguinte a uma Patch Tuesday foi oficialmente cunhada como Exploit Wednesday.

Por que os hackers visam vulnerabilidades corrigidas?

Os hackers visam vulnerabilidades corrigidas porque sabem que as pessoas não atualizam (incluindo plug-ins e temas em seu site). É um padrão da indústria divulgar publicamente as vulnerabilidades no dia em que são corrigidas. Depois que uma vulnerabilidade é divulgada publicamente, ela se torna uma “vulnerabilidade conhecida” para versões desatualizadas e sem patch do software. Software com vulnerabilidades conhecidas é um alvo fácil para hackers.

Hackers gostam de alvos fáceis, e ter software com vulnerabilidades conhecidas é como entregar a um hacker as instruções passo a passo para invadir seu site WordPress, servidor, computador ou qualquer outro dispositivo conectado à Internet.

Divulgação Responsável

Você pode estar se perguntando por que uma vulnerabilidade seria divulgada se ela dá aos hackers uma exploração para atacar. Bem, é muito comum para um pesquisador de segurança encontrar e relatar em particular a vulnerabilidade para o desenvolvedor do software.

Com a divulgação responsável, o relatório inicial do pesquisador é feito em particular para os desenvolvedores da empresa proprietária do software, mas com um acordo de que todos os detalhes serão publicados assim que um patch for disponibilizado. Para vulnerabilidades de segurança significativas, pode haver um pequeno atraso na divulgação da vulnerabilidade para dar a mais pessoas tempo para corrigir.

O pesquisador de segurança pode fornecer um prazo para que o desenvolvedor de software responda ao relatório ou forneça um patch. Se este prazo não for cumprido, o pesquisador pode divulgar publicamente a vulnerabilidade para pressionar o desenvolvedor a lançar um patch.

Divulgar publicamente uma vulnerabilidade e aparentemente introduzir um Dia Zero - um tipo de vulnerabilidade que não tem patch e está sendo explorado em liberdade - pode parecer contraproducente. Mas, é a única alavanca que um pesquisador tem para pressionar o desenvolvedor a corrigir a vulnerabilidade.

Se um hacker descobrisse a vulnerabilidade, ele poderia usar silenciosamente o Exploit e causar danos ao usuário final (este é você), enquanto o desenvolvedor de software continua contente em deixar a vulnerabilidade sem correção.

O Projeto Zero do Google tem diretrizes semelhantes no que diz respeito à divulgação de vulnerabilidades. Eles publicam todos os detalhes da vulnerabilidade após 90 dias, independentemente de a vulnerabilidade ter sido corrigida ou não.

Plug-ins e temas desatualizados são a vulnerabilidade nº 1 do WP

É difícil controlar todas as vulnerabilidades do WordPress divulgadas - nós as monitoramos e compartilhamos em nossos Roundups de vulnerabilidades do WordPress - e comparamos essa lista com as versões de plug-ins e temas que você instalou em seu site. No entanto, isso não impede que os hackers do WordPress almejem plug-ins e temas com vulnerabilidades conhecidas. Ter software com vulnerabilidades conhecidas instalado em seu site dá aos hackers os planos de que precisam para assumir o controle de seu site.

O iThemes Security Pro Site Scan verifica seu site em busca de WordPress, plug-in e vulnerabilidades de tema conhecidas e aplica um patch quando houver um disponível.

No final de 2018, os hackers estavam aproveitando ativamente uma exploração no plug-in de conformidade WP GDPR. O Exploit permitiu que usuários não autorizados - pessoas não conectadas a um site da Web - modificassem as configurações de registro de usuário do WP e alterassem a nova função de usuário padrão de assinante para administrador. Felizmente, os desenvolvedores do plugin WP GDPR Compliance agiram rápido e lançaram um patch para a vulnerabilidade no dia seguinte à sua divulgação pública.

Mas, assim como no Exploit Wednesday, os hackers atacaram a vulnerabilidade mesmo que um patch tenha sido lançado. Nos dias e semanas que se seguiram ao divulgador de vulnerabilidade WP GDPR Compliance, recebemos uma enxurrada de relatórios de que sites do WordPress foram hackeados por invasores que exploravam a vulnerabilidade.

Ter um plugin ou tema vulnerável para o qual um patch está disponível, mas não aplicado é o principal culpado de sites WordPress hackeados. ISTO É TÃO FRUSTRANTE !!!!! Isso significa que a maioria dos hacks do WP poderia ter sido evitada.

É perturbador pensar em todas as pessoas que gastaram muito dinheiro para limpar seu site, a receita que perderam enquanto seus sites estavam fora do ar e a receita futura que perderam ao perder a confiança do cliente. Fica ainda mais perturbador quando você sabe que toda essa angústia poderia ter sido evitada com uma simples atualização.

Com o gerenciamento de versões, queríamos tornar mais fácil para as pessoas gerenciarem atualizações e ajudar a evitar que usassem versões de software com vulnerabilidades conhecidas.

O que é gerenciamento de versão?

O recurso de gerenciamento de versão no iThemes Security Pro permite que você atualize automaticamente o WordPress, plug-ins e temas.

Além disso, o gerenciamento de versão também tem opções para proteger o seu site quando você estiver executando um software desatualizado e procurar sites antigos.

Atualizações automáticas WP vs. gerenciamento de versão

Eu sei o que você está pensando: “O WordPress não tem uma opção de atualização automática?” Sim, graças à adição de atualizações automáticas no WordPress 5.5, isso agora é verdade, mas os recursos de atualização automática no iThemes Security Pro são muito mais robustos. Vamos parar um minuto para comparar as atualizações automáticas do WP e do iThemes Security Pro.

Deixe-me começar dizendo que acho que a adição de atualizações automáticas no WordPress é ótimo para o futuro do WordPress. A comunidade WordPress que adota atualizações automáticas significa que menos sites serão hackeados. Menos sites sendo hackeados farão com que menos pessoas tenham a falsa percepção de que o WordPress é uma plataforma insegura.

As atualizações automáticas também levarão os desenvolvedores de plugins e temas a lançar melhores versões. Se soubermos que nossos clientes dependem de atualizações automáticas, garantiremos que nossos lançamentos não precisem de uma série de lançamentos de acompanhamento para corrigir bugs que foram introduzidos com o lançamento inicial. Isso ajudará a mudar a percepção de que o WordPress requer mais manutenção manual em comparação com outras plataformas.

Aqui estão as três maneiras pelas quais o iThemes Security Pro Version Management oferece mais flexibilidade em comparação com as atualizações automáticas padrão do WordPress.

  • Gerenciamento simplificado de plug-ins e temas - gerencie todas as atualizações de plug-ins e temas nas configurações de gerenciamento de versão.
  • Adicione períodos de atraso personalizados para atualizações de plug-ins e temas - as atualizações automáticas do WordPress oferecem apenas a opção de aplicar as atualizações imediatamente. O programador de atualização permite que você crie um atraso personalizado. Atrasar pode ser uma boa opção para plug-ins ou temas que tendem a precisar de alguns lançamentos de acompanhamento para corrigir problemas após um lançamento principal.
  • Aplique apenas atualizações que corrigem vulnerabilidades conhecidas - aplique apenas atualizações que corrigem vulnerabilidades conhecidas. Esta opção é perfeita se você gosta de executar manualmente todas as suas atualizações, mas deseja receber patches de segurança imediatamente.

Atualizações automáticas do WordPress

O WordPress oferece duas opções para atualizações automáticas de plug-ins e temas: Ativado ou Desativado. Você ativará as atualizações automáticas de plug-ins na página Plug-ins do WordPress.

A opção de atualização automática do tema está meio escondida na página de detalhes do tema.

Atualizações automáticas de gerenciamento de versão

O programador de atualização do gerenciamento de versão tem opções para desabilitar as atualizações automáticas, atualizar imediatamente ou atrasar as atualizações pelo tempo que desejar. Além disso, você pode configurar programações de atualização de plugin e tema nas configurações de gerenciamento de versão.

Tudo bem, vamos pular nas configurações e dar uma olhada mais de perto nas diferentes opções de gerenciamento de versão.

Como usar o gerenciamento de versão no iThemes Security Pro

Para começar a usar o Gerenciamento de versão, habilite o módulo na página principal das configurações de segurança.

Agora clique no botão Definir configurações para examinar mais de perto as configurações.

  • Atualizações do WordPress - Instale automaticamente a versão mais recente do WordPress.
  • Atualizações de plug- ins - instala automaticamente as atualizações de plug-ins mais recentes. Habilitar essa configuração desabilitará o recurso de atualização automática de plug-ins do WordPress para evitar conflitos.
  • Atualizações de tema - Instale automaticamente as atualizações de tema mais recentes. Habilitar essa configuração desabilitará o recurso de atualização automática do tema do WordPress para evitar conflitos.
  • Fortaleça o site ao executar software desatualizado - adicione automaticamente proteções extras ao site quando uma atualização disponível não tiver sido instalada por um mês.
    • Força todos os usuários que não têm dois fatores habilitados a fornecer um código de login enviado para seus endereços de e-mail antes de fazer o login novamente.
    • Desative o Editor de Arquivos WP (que bloqueia as pessoas de editar o plugin ou o código do tema).
    • Desative os pingbacks de XML-RPC e bloqueie várias tentativas de autenticação por solicitação XML-RPC (ambos tornarão o XML-RPC mais forte contra ataques sem ter que desligá-lo completamente).
  • Scan For Old WordPress Sites - Execute uma verificação diária da conta de hospedagem para sites WordPress antigos que podem permitir que um invasor comprometa o servidor. Um único site WordPress desatualizado com uma vulnerabilidade pode permitir que invasores comprometam todos os outros sites na mesma conta de hospedagem.
  • Atualizar automaticamente se corrige a vulnerabilidade - Esta opção funciona em conjunto com o iThemes Security Pro Site Scan para verificar seu site quanto a vulnerabilidades conhecidas de WordPress, plug-in e tema e aplicar um patch quando disponível.

Atualizações de plug-ins e temas

Agora vamos dar uma olhada mais de perto na configuração de atualizações de plug-ins e temas. Antes de começarmos, gostaria de lembrar rapidamente que a ativação das configurações de atualização do plug-in e do tema desativará o recurso de atualização automática do WordPress para evitar conflitos.

As configurações de atualização de plug-in e tema têm três opções.

  1. Em branco / Nenhum - deixar a configuração em branco permitirá que o WordPress gerencie as atualizações do plugin e do tema.
  2. Personalizado - A opção Personalizado permite que você personalize as atualizações precisamente de acordo com sua preferência. Abordaremos isso mais em breve.
  3. Todos - Todos irão atualizar todos os seus plug-ins ou temas assim que uma atualização estiver disponível.

Agora vamos dar uma olhada mais de perto na opção Personalizado .

Selecionar a opção Personalizado fornece três opções diferentes para atualizações de plug-in e tema.

  1. Habilitar - Escolha quais plug-ins você deseja atualizar imediatamente após um novo lançamento.
  2. Desativar - Use esta opção para plug-ins que você deseja atualizar manualmente.
  3. Atraso - A opção de atraso permite definir o número de dias que você deseja atrasar a atualização de uma versão. Esta pode ser uma boa opção para desenvolvedores que tendem a precisar de alguns lançamentos de acompanhamento para corrigir problemas após um lançamento principal.

Como podemos ver, a configuração de atualizações automáticas personalizadas oferece muito mais flexibilidade do que a opção de ativação ou desativação de atualização automática do WordPress.

Empacotando

Ter um plugin ou tema vulnerável para o qual um patch está disponível, mas não aplicado é o principal culpado de sites WordPress hackeados. Isso significa que a maioria dos hacks do WordPress pode ser evitada simplesmente atualizando.

O recurso de gerenciamento de versão do iThemes Security Pro permite que você gerencie suas atualizações automáticas de acordo com sua programação. O iThemes Security Pro fornece cobertura para você se deseja instalar todas as novas atualizações assim que forem lançadas ou apenas se a atualização corrigir uma vulnerabilidade.

Destaque de recurso