WordPress é, de longe, a forma mais popular de construir um site. Essa popularidade tem o infeliz efeito colateral de também tornar os sites WordPress um alvo suculento para atores maliciosos em todo o mundo. E isso pode fazer com que você se pergunte se o WordPress é seguro o suficiente para lidar com esses ataques.

Primeiro, más notícias: Todos os anos, centenas de milhares de sites WordPress são pirateados, bem como sites de comércio electrónico (é por isso que temos um guia detalhado sobre a Prevenção de Fraudes no Comércio Electrónico).

Parece sombrio, certo? Bem… nem por isso, porque também há boas notícias:

Os hackers não estão entrando devido às vulnerabilidades do software WordPress mais recente. Em vez disso, a maioria dos sites é invadida por problemas totalmente evitáveis, como não manter as coisas atualizadas ou usar senhas inseguras.

Como resultado, responder à pergunta “o WordPress é seguro?” requer alguma nuance. Para isso, vamos cobrir alguns ângulos diferentes:

  • Estatísticas sobre como os sites do WordPress realmente são hackeados, para que você entenda onde estão as vulnerabilidades de segurança.
  • Como a equipe central do WordPress aborda questões de segurança, para que você saiba quem é responsável e o que eles são responsáveis pela segurança.
  • Se o WordPress é seguro quando você segue as melhores práticas, então você sabe se o seu site será seguro.

Como os sites do WordPress são hackeados (pelos dados)

Ok, sabes que muitos sites da WordPress estão a ser pirateados todos os anos. Mas… como está a acontecer? É um problema global do WordPress? Ou vem das acções desses webmasters?

Aqui está porque a maioria dos sites do WordPress são hackeados, de acordo com os dados que temos….

Out-of-Date Core Software

Aqui está uma correlação insuperável do Relatório 2017 da Sucuri sobre o site hackeado da Sucuri. De todos os sites hackeados do WordPress que a Sucuri analisou, 39,3% estavam executando software WordPress desatualizado no momento do incidente.

Sites hackeados
Sites hackeados (Fonte da imagem: Sucuri)

Então, imediatamente, você pode ver uma relação muito próxima entre ser hackeado e usar software desatualizado. No entanto, esta é definitivamente uma melhoria de mais de 61% em relação a 2016. 👏

De acordo com o WPScan Vulnerability Database, ~74% das vulnerabilidades conhecidas que eles registraram estão no software principal do WordPress. Mas aqui está o kicker – as versões com mais vulnerabilidades estão de volta ao WordPress 3.X:

Lista WPScan de vulnerabilidades conhecidas
Lista WPScan de vulnerabilidades conhecidas

Mas – infelizmente – apenas 62% dos sites do WordPress estão executando a versão mais recente, razão pela qual muitos sites ainda são desnecessariamente vulneráveis a essas explorações:

Utilização do WordPress por versão.
Utilização do WordPress por versão. (Fonte da imagem: WordPress.org)

Finalmente, você pode ver essa conexão mais uma vez com a maior vulnerabilidade da API do WordPress REST a partir de fevereiro de 2017, onde centenas de milhares de sites foram danificados.

O WordPress 4.7.1 continha múltiplas vulnerabilidades que foram eventualmente usadas para desfigurar esses sites. Mas…semanas antes das vulnerabilidades serem exploradas, o WordPress 4.7.2 foi lançado para corrigir todas essas vulnerabilidades.

Todos os proprietários de sites do WordPress que não tinham desativado os patches de segurança automáticos ou que, de outra forma, tinham atualizado prontamente para o WordPress 4.7.2 estavam seguros. Mas aqueles que não aplicaram a atualização não o fizeram.

Takeaway: A Equipe de Segurança do WordPress faz um ótimo trabalho ao corrigir rapidamente problemas no software WordPress core. Se você aplicar prontamente todas as atualizações de segurança, é altamente improvável que seu site tenha problemas como resultado de vulnerabilidades essenciais. Mas se não o fizeres, arriscas-te quando uma exploração se espalha pela selva.

2. Temas ou plugins desatualizados

Uma das coisas que as pessoas adoram no WordPress é o conjunto vertiginoso de plugins e temas disponíveis. Até agora, existem mais de 56.000 no repositório WordPress, e milhares de premium adicionais espalhados pela web.

Embora todas essas opções sejam ótimas para estender seu site, cada extensão é um novo gateway potencial para um ator malicioso. E enquanto a maioria dos desenvolvedores do WordPress fazem um bom trabalho de seguir padrões de código e aplicar patches em quaisquer atualizações à medida que se tornam conhecidas, ainda existem alguns problemas potenciais:

  • Um plugin ou tema tem uma vulnerabilidade e, porque não há tantos olhos nele quanto o software WordPress, essa vulnerabilidade não é detectada.
  • O desenvolvedor parou de trabalhar na extensão, mas as pessoas ainda estão usando-a.
  • O desenvolvedor rapidamente corrige o problema, mas as pessoas simplesmente não atualizam.

Então, qual é o tamanho do problema?

Bem, em uma pesquisa da Wordfence de proprietários de sites hackeados, mais de 60% dos proprietários de sites que sabiam como o hacker entrou atribuíram-no a uma vulnerabilidade de plugin ou tema.

Pesquisa de website hackeado Wordfence
Pesquisa de website hackeado Wordfence (Fonte da imagem: Wordfence)

Da mesma forma, no relatório de 2016 da Sucuri, apenas 3 plugins responderam por mais de 15% dos sites hackeados que eles analisaram.

Lista de plugins hackeados Sucuri
Lista de plugins hackeados Sucuri

Mas aqui está o pontapé de saída:

As vulnerabilidades desses plugins já tinham sido corrigidas há muito tempo – proprietários de sites simplesmente não tinham atualizado o plugin para proteger seu site.

Takeaway: Temas e plugins do WordPress introduzem um curinga e podem abrir seu site para atores maliciosos. Muito desse risco pode ser mitigado, porém, seguindo as melhores práticas. Mantenha suas extensões atualizadas e instale apenas extensões de fontes respeitáveis.

Nós também temos que mencionar estes clubes GPL que você pode ver flutuando na internet onde você pode obter qualquer plugin WordPress premium ou tema por apenas alguns dólares. Enquanto WordPress é licenciado sob GPL, que é incrível e uma das razões pelas quais nós o amamos, cuidado com o comprador. Estes são por vezes também referidos como plugins nulos.

Comprar plugins de clubes GPL significa que você está confiando em um terceiro para obter as últimas atualizações do desenvolvedor e muitas vezes você não receberá suporte. Obter atualizações de plugins do desenvolvedor é a rota mais segura. Além disso, nós somos todos sobre o apoio aos desenvolvedores e seu trabalho árduo!

3. Credenciais de login comprometidas para WordPress, FTP ou Hosting

Ok, esta não é realmente culpa do WordPress. Mas uma porcentagem não trivial de hacks é de atores maliciosos que recebem credenciais de login do WordPress, ou as credenciais de login para hospedagem de webmasters ou contas FTP.

Na mesma pesquisa do Wordfence, os ataques de força bruta representaram ~16% dos sites hackeados, com o roubo de senhas, estações de trabalho, phishing e contas FTP fazendo uma aparência pequena, mas perceptível.

Uma vez que um ator malicioso recebe a chave metafórica para a porta da frente, não importa o grau de segurança do seu site WordPress.

WordPress realmente faz um grande trabalho mitigando isso, gerando automaticamente senhas seguras, mas ainda cabe aos usuários manter essas senhas seguras e também usar senhas fortes para hospedagem e FTP.

Takeaway: Tomar medidas básicas para manter as credenciais de contas seguras pode impedir que atores maliciosos entrem. Use/enforce senhas fortes para todas as contas do WordPress e limite as tentativas de login para evitar ataques de força bruta (A hospedagem gerenciada de WordPress da Kinsta faz isso por padrão 👍).

Para contas de hospedagem, use autenticação de dois fatores se disponível e nunca armazene sua senha FTP em texto simples (como alguns programas FTP fazem).

Se você tiver uma escolha entre FTP e SFTP (Protocolo de Transferência de Arquivos SSH), sempre use SFTP (saiba a diferença entre FTP e SFTP para que você possa entender o porquê). Isso garante que nenhuma senha de texto clara ou dados de arquivo seja transferida. Só apoiamos ligações seguras em Kinsta.

4. Ataques de Cadeia de Suprimentos

Recentemente, houve alguns casos em que hackers obtiveram acesso a sites através de um truque desagradável chamado ataque de cadeia de suprimentos. Essencialmente, o ator malicioso o faria:

  • Adquira um plugin de alta qualidade previamente listado em WordPress.org
  • Adicionar uma backdoor ao código do plugin
  • Aguarde que as pessoas atualizem o plugin e, em seguida, injete a porta traseira

O Wordfence tem uma explicação mais profunda se estiveres interessado. Embora esses tipos de ataques não sejam, de forma alguma, generalizados, eles são mais difíceis de prevenir porque resultam de fazer algo que você deveria estar fazendo (mantendo um plugin atualizado).

Com isso dito, a equipe do WordPress.org geralmente identifica rapidamente esses problemas e remove o plugin do diretório.

Takeaway: Este pode ser difícil de evitar porque é uma boa coisa para sempre atualizar para a versão mais recente. Para ajudar, plugins de segurança como o Wordfence podem alertá-lo quando um plugin é removido do WordPress.org para que você o aborde rapidamente. E uma boa estratégia de backup pode ajudá-lo a recuar sem nenhum dano permanente.

5. Pobre ambiente de hospedagem e tecnologia Out-Of-Date

Além do que está acontecendo no seu site WordPress, seu ambiente de hospedagem e as tecnologias que você usa também fazem a diferença. Por exemplo, apesar do PHP 7 oferecer muitas melhorias de segurança sobre o PHP 5, apenas ~33% dos sites do WordPress estão usando o PHP 7 ou superior.

Utilização do site WordPress em PHP.
Utilização do site WordPress em PHP. (Fonte da imagem: WordPress.org)

O suporte de segurança do PHP 5.6 expira oficialmente no final de 2018. E as versões anteriores do PHP 5 não tinham suporte de segurança há anos.

Isso significa que usar um ambiente de hospedagem usando PHP 5.6 ou menos em breve abrirá o potencial de vulnerabilidades de segurança PHP não corrigidas.

Apesar desse fato, um enorme ~28% dos sites do WordPress ainda estão usando versões do PHP sob 5.6, o que é um problema enorme quando você considera que recentemente vimos anos recorde para o número de vulnerabilidades descobertas do PHP.

Além de lhe dar acesso às mais recentes tecnologias, o uso de hospedagem WordPress segura também pode ajudá-lo a mitigar automaticamente muitas das outras potenciais vulnerabilidades de segurança:

Takeaway: Usar um ambiente de hospedagem seguro e versões recentes de tecnologias importantes como PHP ajuda a garantir que seu site WordPress permaneça seguro.

Quem é responsável por manter o WordPress seguro?

Agora você pode estar se perguntando, quem é responsável por combater todas as questões acima?

Oficialmente, essa responsabilidade recai sobre a Equipe de Segurança do WordPress (embora contribuidores individuais e desenvolvedores de todo o mundo também desempenham um papel importante na manutenção da segurança do WordPress).

A equipe de segurança do WordPress é “50 especialistas, incluindo desenvolvedores líderes e pesquisadores de segurança”. Cerca de metade destes especialistas trabalham na Automattic. Outros trabalham em segurança web, e a equipe também consulta pesquisadores de segurança e empresas de hospedagem.

Se estiver interessado numa análise detalhada de como funciona a Equipa de Segurança do WordPress, pode assistir à conversa de 48 minutos de Aaron Campbell no WordCamp Europe 2017. Mas, em geral, a equipa de segurança do WordPress:

  • Detecta e corrige bugs e possíveis problemas usando, em parte, ferramentas como recompensas de bugs do HackerOne.
  • Consultas sobre todas as versões principais do WordPress

A equipe de segurança do WordPress tem uma política de divulgação que significa que, uma vez que eles tenham corrigido o bug com sucesso e liberado a correção de segurança, eles divulgam publicamente o problema (isso é parte do motivo pelo qual tantos sites foram destruídos em 2017 – eles ainda não tinham aplicado a atualização mesmo depois que a equipe de segurança divulgou publicamente o bug).

O que a equipe de segurança do WordPress não faz é verificar todos os temas e plugins no WordPress.org. Os temas e plugins do WordPress.org são revisados manualmente por voluntários. Mas essa revisão não é “uma garantia de que eles estão livres de vulnerabilidades de segurança”.

Então – O WordPress é seguro se você seguir as melhores práticas?

Se você olhar para todos os dados e fatos acima, verá esta tendência geral:

Enquanto nenhum sistema de gerenciamento de conteúdo é 100% seguro, WordPress tem um aparelho de segurança de qualidade no lugar para o software principal e a maioria dos hacks são um resultado direto de webmasters que não seguem as melhores práticas básicas de segurança.

Se fizeres coisas como…

  • Mantenha seu software WordPress principal, plugins e temas atualizados.
  • Escolha plugins e temas sabiamente e instale apenas extensões de desenvolvedores/fonte respeitáveis. Cuidado com os clubes GPL e plugins/temas nulos.
  • Se você tem uma escolha entre FTP e SFTP, sempre use SFTP.
  • Use senhas fortes para WordPress, bem como suas contas de hospedagem e SFTP (e autenticação de dois fatores, se disponível).
  • Não use “admin” para seu nome de usuário.
  • Configure um firewall em frente ao seu site. Todos os sites Kinsta são protegidos por nossa integração gratuita Cloudflare, que inclui um firewall de nível empresarial com proteção DDoS embutida. Se você não estiver hospedado na Kinsta, adicionar o Cloudflare ou o WAF da Sucuri pode tornar seu site mais seguro.
  • Mantenha o seu próprio computador livre de vírus.
  • Mude sua URL de login WordPress para reduzir a força bruta.
  • Use um certificado TLS (HTTPS) para que toda a comunicação com o seu site WordPress (como o login no seu painel) seja criptografada. Kinsta fornece certificados HTTPS gratuitos!
  • Utilize chaves SSH. Isso fornece uma maneira mais segura de fazer login em um servidor e eliminar a necessidade de uma senha.
  • Escolha um host com um ambiente seguro e use as últimas tecnologias como PHP 7+.

…então o WordPress é seguro e seu site deve permanecer livre de hackers agora e no futuro. Se és um cliente Kinsta, também não precisas de te preocupar. Se por acaso o seu site for pirateado, nós o consertaremos de graça!

Brian Jackson

Brian tem uma enorme paixão pelo WordPress, e tem utilizado há mais de uma década e até desenvolve alguns plugins premium. Brian gosta de blogs, filmes e caminhadas. Conecte-se com Brian no Twitter.