O WordPress é, de longe, a forma mais popular de construir um site. Essa popularidade tem também o indesejável efeito colateral de tornar os sites WordPress um alvo suculento para agentes mal-intencionados em todo o mundo. E isso pode fazer com que você se pergunte se o WordPress é seguro o suficiente para lidar com esses ataques.
Primeiro a má notícia: todos os anos centenas de milhares de sites WordPress são pirateados, bem como sites de eCommerce (é por isso que temos um guia detalhado sobre a Prevenção de Fraudes no eCommerce).
Parece sombrio, certo? Bem… mas não é pra tanto, porque também há boas notícias:
Os hackers não estão entrando devido a vulnerabilidades no software WordPress mais recente. Ao contrário, a maioria dos sites é invadida por problemas totalmente evitáveis, como não manter as coisas atualizadas ou usar senhas inseguras.
Como resultado, responder à pergunta “O WordPress é seguro?” requer algumas nuances. Para isso, vamos cobrir alguns ângulos diferentes:
- Estatísticas sobre como os sites WordPress realmente são hackeados, para que você entenda onde estão as vulnerabilidades de segurança.
- Como a equipe central do WordPress aborda questões de segurança, para que você saiba quem é o responsável e o que eles estão encarregados de proteger.
- Se o WordPress é seguro quando você segue as melhores práticas, então você pode saber se o seu site estará seguro.
Como os sites WordPress são hackeados (segundo os dados)
Ok, você sabe que muitos sites WordPress são hackeados todos os anos. Mas… como isso acontece? É um problema global do WordPress? Ou vem das ações desses webmasters?
Vejamos por que a maioria dos sites WordPress são hackeados, segundo os dados que temos…
Software principal do WordPress desatualizado
Aqui está uma correlação previsível do Relatório Sucuri 2017 de Sites Hackeados. De todos os sites WordPress hackeados que a Sucuri analisou, 39,3% estavam executando software WordPress desatualizado no momento do incidente.
Então, você pode imediatamente ver uma relação muito próxima entre ser hackeado e usar software desatualizado. No entanto, essa foi definitivamente uma melhora de mais de 61% em relação a 2016. 👏
Conforme o WPScan Vulnerability Database, cerca de 74% das vulnerabilidades conhecidas que eles registraram estão no software principal do WordPress. Porém, o mais surpreendente é que as versões com mais vulnerabilidades remontam ao WordPress 3.X.
Mas, infelizmente, apenas 62% dos sites WordPress estão executando a versão mais recente, razão pela qual muitos sites ainda são desnecessariamente vulneráveis a essas explorações:
Finalmente, você pode ver essa conexão mais uma vez com a maior vulnerabilidade da API REST do WordPress a partir de fevereiro de 2017, em que centenas de milhares de sites foram danificados.
O WordPress 4.7.1 continha múltiplas vulnerabilidades que foram eventualmente usadas para desfigurar esses sites. Contudo, semanas antes das vulnerabilidades serem exploradas, o WordPress 4.7.2 tinha sido lançado para corrigir todas elas.
Todos os proprietários de sites WordPress que não tinham desativado os patches de segurança automáticos ou que, de outra forma, tinham atualizado prontamente para o WordPress 4.7.2, estavam seguros. Mas não aqueles que não aplicaram a atualização.
Resumo: A equipe de segurança do WordPress faz um ótimo trabalho corrigindo rapidamente problemas no software principal do WordPress. Se você aplicar prontamente todas as atualizações de segurança, é muito improvável que seu site enfrente problemas como resultado de vulnerabilidades nos arquivos essenciais. Mas se não o fizer, arrisca sofrer com explorações assim que elas se espalharem.
2. Temas ou plugins desatualizados
Uma das coisas que as pessoas adoram no WordPress é a enorme coleção de plugins e temas disponíveis. Até agora, existem mais de 56.000 no repositório WordPress, e milhares de premium adicionais espalhados pela web.
Embora todas essas opções sejam ótimas para estender seu site, cada extensão é uma nova brecha potencial para um agente malicioso. E enquanto a maioria dos desenvolvedores WordPress faz um bom trabalho de seguir padrões de código e aplicar patches em quaisquer atualizações à medida que se tornam conhecidas, ainda pode haver alguns problemas:
- Um plugin ou tema tem uma vulnerabilidade e, porque não há tantos olhos nele quanto o software WordPress, essa vulnerabilidade não é detectada.
- O desenvolvedor parou de trabalhar na extensão, mas as pessoas ainda a estão usando.
- O desenvolvedor corrige rapidamente o problema, mas as pessoas simplesmente não atualizam.
Então, qual é o tamanho do problema?
Bem, em uma pesquisa da Wordfence sobre proprietários de sites hackeados, mais de 60% dos que sabiam como o hacker entrou atribuíram-no a uma vulnerabilidade de plugin ou tema.
Da mesma forma, no relatório de 2016 da Sucuri, apenas 3 plugins responderam por mais de 15% dos sites hackeados que eles analisaram.
Mas aqui voltamos ao início novamente:
As vulnerabilidades desses plugins já tinham sido corrigidas há muito tempo — os proprietários dos sites simplesmente não tinham atualizado o plugin para proteger seu site.
Resumo: Temas e plugins do WordPress introduzem um wildcard e podem abrir seu site para agentes mal-intencionados. Muito desse risco pode ser mitigado, porém, seguindo as melhores práticas. Mantenha suas extensões atualizadas e instale apenas extensões de fontes respeitáveis.
Nós também temos que mencionar os clubes GPL que flutuam pela internet, onde você pode obter qualquer plugin WordPress premium ou tema por apenas alguns dólares. Enquanto WordPress é licenciado sob GPL, que é incrível e uma das razões pelas quais nós o amamos, tenha cuidado com essa compra. Esses são por vezes também referidos como plugins nulos.
Comprar plugins de clubes GPL significa que você está confiando em um terceiro para obter as últimas atualizações do desenvolvedor e muitas vezes não receberá suporte. Obter atualizações de plugins do desenvolvedor é o caminho mais seguro. Além disso, apoiamos integralmente os desenvolvedores e seu trabalho árduo!
3. Credenciais de login comprometidas para WordPress, FTP ou hospedagem
Ok, este caso realmente não é culpa do WordPress. Mas uma porcentagem não trivial de hacks é de agentes mal-intencionados que recebem credenciais de login do WordPress, ou credenciais de login para hospedagem, de webmasters ou contas FTP.
Na mesma pesquisa do Wordfence, os ataques de força bruta representaram ~16% dos sites hackeados, com roubo de senhas, estações de trabalho, phishing e contas FTP tendo uma incidência pequena, mas perceptível.
Uma vez que um agente mal-intencionado recebe uma chave metafórica para a porta da frente, não importa o grau de segurança do seu site WordPress.
O WordPress realmente faz um grande trabalho mitigando isso, gerando automaticamente senhas seguras, mas ainda cabe aos usuários manter essas senhas seguras e também usar senhas fortes para hospedagem e FTP.
Takeaway: Tomar medidas básicas para manter as credenciais de contas seguras pode impedir que agentes mal-intencionados entrem. Use e exija senhas fortes para todas as contas WordPress, e limite as tentativas de login para evitar ataques de força bruta (A hospedagem da Kinsta faz isso por padrão 👍).
Para contas de hospedagem, use autenticação de dois fatores, se disponível, e nunca armazene sua senha FTP em texto simples (como alguns programas FTP fazem).
Se você tiver escolha entre FTP e SFTP (Protocolo de Transferência de Arquivos SSH), sempre use SFTP (saiba a diferença entre FTP e SFTP para entender o porquê). Isso garante que nenhuma senha de texto clara ou dados de arquivo sejam transferidos. Na Kinsta, só oferecemos suporte a transferências de arquivos por SFTP.
4. Ataques de Cadeia de Suprimentos
Recentemente houve alguns casos em que hackers obtiveram acesso a sites através de um truque desagradável chamado ataque de cadeia de suprimentos. Essencialmente, o agente mal-intencionado vai:
- Adquirir um plugin de alta qualidade previamente listada no WordPress.org
- Adicionar uma backdoor ao código do plugin
- Aguardar que as pessoas atualizem o plugin e, em seguida, injetar a backdoor
O Wordfence tem uma explicação mais profunda caso você tenha interesse. Embora esses tipos de ataques não sejam, de forma alguma, generalizados, são mais difíceis de prevenir, porque são o resultado de algo que você deve mesmo fazer (manter um plugin atualizado).
Com isso dito, a equipe do WordPress.org geralmente identifica rapidamente esses problemas e remove o plugin do diretório.
Resumo: Este pode ser difícil de evitar, porque é sempre positivo atualizar para a versão mais recente. Para ajudar, plugins de segurança como o Wordfence podem alertá-lo quando um plugin é removido do WordPress.org para que você tome providências rapidamente. E uma boa estratégia de backup pode ajudá-lo a se recuperar sem nenhum dano permanente.
5. Ambiente de hospedagem ruim e tecnologia ultrapassada
Além do que ocorre no próprio site WordPress, seu ambiente de hospedagem e as tecnologias que você usa também fazem a diferença. Por exemplo, apesar de o PHP 7 oferecer muitas melhorias de segurança sobre o PHP 5, apenas ~33% dos sites WordPress estão usando o PHP 7 ou superior.
O suporte de segurança do PHP 5.6 oficialmente expira no final de 2018. E as versões anteriores do PHP 5 não tinham suporte de segurança havia anos.
Isso significa que usar um ambiente de hospedagem usando PHP 5.6 ou inferior em breve abrirá o potencial de vulnerabilidades de segurança PHP não corrigidas.
Apesar desse fato, surpreendentes ~28% dos sites WordPress ainda usam versões do PHP abaixo do 5.6, o que é um grande problema quando consideramos que os anos recentes bateram recordes de vulnerabilidades descobertas do PHP.
Além de lhe dar acesso às mais recentes tecnologias, usar hospedagem de WordPress segura também pode ajudá-lo a mitigar automaticamente muitas das outras potenciais vulnerabilidades de segurança:
- Firewalls de aplicativos web como Cloudflare (todos os sites na Kinsta são protegidos por nossa integração com o Cloudflare) e Sucuri
- Atualizações automáticas para releases de segurança
- Autenticação de dois fatores
- Backups automáticos
Resumo: Usar um ambiente de hospedagem seguro e versões recentes de tecnologias importantes como PHP ajuda a garantir que seu site WordPress permaneça seguro.
Quem é responsável por manter o WordPress seguro?
Agora você pode estar se perguntando: quem é responsável por combater todas as questões acima?
Oficialmente, essa responsabilidade recai sobre a equipe de segurança do WordPress (embora colaboradores individuais e desenvolvedores de todo o mundo também desempenhem um papel importante na manutenção da segurança do WordPress).
A equipe de segurança do WordPress é de “50 especialistas, incluindo desenvolvedores líderes e pesquisadores de segurança”. Cerca de metade desses especialistas trabalham na Automattic. Outros trabalham em segurança web, e a equipe também consulta pesquisadores de segurança e empresas de hospedagem.
Se estiver interessado numa análise detalhada de como funciona a equipe de segurança do WordPress, pode assistir à conversa de 48 minutos de Aaron Campbell no WordCamp Europe 2017. Mas, em termos gerais, a equipe de segurança do WordPress:
- Detecta e corrige bugs e possíveis problemas usando, em parte, ferramentas como recompensas de bugs do HackerOne.
- Consultas sobre todas as versões principais do WordPress
A equipe de segurança do WordPress tem uma política de divulgação que significa que, uma vez que tenham corrigido o bug com sucesso e liberado a correção de segurança, eles divulgam publicamente o problema (isso é parte do motivo pelo qual tantos sites foram danificados em 2017 — eles ainda não tinham aplicado a atualização, mesmo depois que a equipe de segurança divulgou publicamente o bug).
O que a equipe de segurança do WordPress não faz é verificar todos os temas e plugins no WordPress.org. Os temas e plugins no WordPress.org são revisados manualmente por voluntários. Mas essa revisão não é “uma garantia de que estão livres de vulnerabilidades de segurança”.
Então… O WordPress é seguro se você seguir as melhores práticas?
Se você olhar todos os dados e fatos acima, verá esta tendência geral:
Enquanto nenhum sistema de gerenciamento de conteúdo é 100% seguro, o WordPress tem um qualificado aparato de segurança para o software principal, e a maioria dos hacks são resultado direto de webmasters que não seguem as melhores práticas básicas de segurança.
Se você fizer coisas como…
- Manter seu software principal do WordPress, plugins e temas atualizados.
- Escolher plugins e temas sabiamente e instalar apenas extensões de desenvolvedores/fontes respeitáveis. Além de ter cuidado com clubes GPL e plugins/temas nulos.
- Se possível, entre FTP e SFTP, sempre escolher SFTP.
- Usar senhas fortes para o WordPress, bem como suas contas de hospedagem e SFTP (e autenticação de dois fatores, se disponível).
- Não usar “admin” como seu nome de usuário.
- Configurar um firewall na frente do seu site. Todos os sites Kinsta são protegidos por nossa integração gratuita com o Cloudflare, que inclui um firewall de nível empresarial com proteção DDoS integrada. Se você não estiver hospedado na Kinsta, adicionar o Cloudflare ou o WAF da Sucuri pode tornar seu site mais seguro.
- Manter o seu próprio computador livre de vírus.
- Mudar sua URL de login WordPress para reduzir a força bruta.
- Usar um certificado TLS (HTTPS) para que toda a comunicação com o seu site WordPress (como o login no seu painel) seja criptografada. A Kinsta fornece certificados HTTPS gratuitos!
- Utilizar chaves SSH. Isso fornece uma maneira mais segura de fazer login em um servidor e elimina a necessidade de uma senha.
- Escolher uma hospedagem com um ambiente seguro e usar as últimas tecnologias, como PHP 7+…
O WordPress é seguro, e seu site estará protegido contra hackers agora e no futuro. E se você é cliente da Kinsta, não precisa se preocupar. Caso seu site seja hackeado, nós corrigimos o problema sem custo!
Brian tem uma enorme paixão pelo WordPress, e tem utilizado há mais de uma década e até desenvolve alguns plugins premium. Brian gosta de blogs, filmes e caminhadas. Conecte-se com Brian no Twitter.
Sim, o WordPress é seguro fácil de usar. E todas as recomendações acima precisam ser colocadas em prática.