O WordPress é seguro?
A questão de saber sobre a segurança do wordpress é complicada. Embora seja, obviamente, uma plataforma segura o suficiente para aproximadamente um quarto de todos os sites do mundo que são alimentados por WordPress, ainda sim possui suas vulnerabilidades.
Então, quem é responsável por manter o WordPress seguro? É claro que parte dessa responsabilidade fica sobre você. É por isso que é essencial estar ciente sobre isso e respeitar as regras de segurança do WordPress para manter cada site que você constrói o mais seguro possível.
No entanto, o time por trás do WordPress também tem alguma responsabilidade em tudo isso. Afinal, não há nada que você possa fazer para proteger o núcleo subjacente do WordPress.
Neste conteúdo iremos abordar alguns dos antecedentes em torno de problemas de segurança do WordPress e o que o WordPress Project está fazendo sobre eles.
Uma breve história de problemas de segurança do WordPress
Você sabia que “hackers atacam sites de WordPress grandes e pequenos, com mais de 90 978 ataques acontecendo por minuto”?
A questão não é necessariamente que o WordPress é um sistema de gerenciamento de conteúdo fraco, propenso a tentativas de invasão e violações de segurança. É mais provável que seja um problema de visibilidade. O WordPress é o CMS mais popular em todo o mundo, então, claro, será um alvo fácil para hackers.
O WordPress é com frequência discutido on-line (em blogs, fóruns, podcasts, etc.) e consequentemente, os pontos fracos da plataforma são bem conhecidos. Seria sensato, então, que os hackers visassem principalmente os sites do WordPress, certo?
A segurança é um tema importante de discussão para qualquer blog WordPress ou de desenvolvimento web, incluído na 2WP . Isso não quer dizer que somos culpados por compartilhar publicamente as falhas do WordPress. Em nossa comunidade, isso é principalmente apenas conhecimento comum de qualquer maneira. No entanto, todas essas informações publicadas tornam as vulnerabilidades do WordPress dolorosamente claras.
De acordo com o WordPress Project (a equipe responsável pelo gerenciamento de segurança para a plataforma), eles emitem patches de segurança o tempo todo. Você conhece as notificações de atualização automática que você recebe quando você entra na área de administração? “O WordPress foi atualizado para 4.7.2” ou algo assim? Bem, geralmente quando você vê as versões menores sair, é porque a equipe teve que consertar um problema de segurança.
Mas ainda sim, apesar de todos os esforços da comunidade do WordPress em lançar Paths de atualizações de segurança, isso não impediu os hackers de desfigurar 1,5 milhões de sites WordPress, entretanto há também aqueles usuários do WordPress que nunca atualizaram o CMS (ou o fizeram muito tarde) que permaneceram vulneráveis ao ataque.
O que você precisa saber sobre o projeto WordPress (e segurança)
Aqui está o que você precisa saber sobre o WordPress Project e o que eles estão fazendo para manter a segurança do núcleo .
A equipe de segurança do WordPress
Primeiro, vamos falar sobre o Projeto WordPress. Esta equipe de segurança é composta por cerca de 25 indivíduos, todos os quais são especialistas em desenvolvimento ou segurança do WordPress. Atualmente, metade das pessoas no projeto WordPress trabalham para o Automattic.
Esta equipe de especialistas é responsável por identificar os riscos de segurança no núcleo. Eles também são responsáveis por revisar possíveis problemas com temas ou plugins enviados por terceiros e fazer recomendações sobre como eles podem endurecer suas ferramentas ou corrigir violações conhecidas.
Embora normalmente trabalhem por conta própria para identificar e resolver esses problemas, eles, de tempos em tempos, consultam outros especialistas no campo, especialmente aqueles de empresas de segurança e de hospedagem.
Como o WordPress identifica riscos de segurança
Como seria de esperar, a equipe do WordPress Project funciona como uma máquina bem dinâmica. Veja como funciona o processo de identificação e resolução de risco de segurança:
- Um problema é identificado por alguém na equipe de segurança ou fora do time. Os membros que não são do projeto podem comunicar esses problemas detectados enviando um email para [email protected].
- Um relatório é registrado e o time de segurança reconhece o recebimento dele.
- Os membros da equipe então trabalham juntos em um servidor fechado e privado para verificar se a ameaça é válida.
- Aqui é onde eles seguem, testam e reparam quaisquer falhas de segurança detectadas.
- O patch de segurança então é adicionado à próxima versão menor do WordPress.
- Para reparos menos sérios, o WordPress simplesmente avisa os usuários no painel do WordPress sempre que ocorre uma liberação automática.
- Para questões mais urgentes, o lançamento será lançado imediatamente e o WordPress.org irá anunciá-lo na página Notícias do site.
Claro, como vimos com o 4.7.2., O WordPress nem sempre anuncia imediatamente esses patches de segurança (por motivos válidos), embora eles sempre tomem medidas imediatas para resolvê-los.
Uma nota sobre atualizações automáticas
A partir da versão 3.7, o WordPress teve a capacidade de enviar atualizações menores automaticamente para todos os sites. Isso garante que o time de segurança do WordPress possa obter correções urgentes em tempo hábil e não ter que esperar para que os usuários aceitem e façam a atualização em cada um de seus sites.
No entanto, é possível que os usuários do WordPress optem por essas atualizações básicas automáticas. Se for esse o caso, esteja ciente de que isso pode colocar seu site em risco adicional, especialmente se você não tiver tempo para monitorar atenciosamente todos os seus sites para a atualização mais recente e melhor.
WordPress Plugins e Temas de Segurança
Muito parecido com a forma como é sua responsabilidade fornecer aos visitantes uma experiência de site segura, o plugin do WordPress e os desenvolvedores de temas são responsáveis por manter seus usuários (ou seja, pessoal) também. Enquanto o WordPress não consegue gerenciar as dezenas de milhares de plugins e temas por aí, eles podem, pelo menos, estar de olho neles para garantir que nada de inseguro inseguro deslize através das rachaduras.
O WordPress Project é a equipe responsável por trabalhar com desenvolvedores quando um problema de segurança é detectado. Antes disso, no entanto, há uma equipe de voluntários designados para revisar todos e cada um dos temas ou plugins submetidos ao WordPress. Essa equipe trabalhará com os desenvolvedores para garantir que as melhores práticas sejam seguidas.
No entanto, as vulnerabilidades de segurança ainda podem surgir e é aí que o time de segurança do WordPress precisa intervir para:
- Forneça documentação para desenvolvedores do WordPress sobre desenvolvimento de tópicos e desenvolvimento de temas e melhores práticas de segurança.
- Monitorar plugins e temas para potenciais falhas de segurança. Qualquer problema detectado será levado à atenção do desenvolvedor.
- Remova plugins prejudiciais ou temas do diretório se os desenvolvedores não respondem ou não cooperam.
O WordPress notificará os seus usuários através do administrador do WordPress quando esses patches de segurança (ou a remoção de plugins e temas incorretos) estiverem disponíveis.
Top 10 da OWASP
A Fundação Open Web Application Security Project (OWASP) foi criada em 2001 com o objetivo de proteger organizações de programas e programas que potencialmente poderiam prejudicá-los. O que você pode se surpreender ao saber é que o WordPress Project visa cumprir o Top 10 da OWASP em todos os momentos.
O Top 10 é uma lista composta pelo OWASP de riscos de segurança conhecidos e muito sérios. Tendo se familiarizado com esta lista, o time de segurança do WordPress usa essas tendências para definir sua própria lista de 10 melhores maneiras de defender o núcleo. Atualmente, seu objetivo é proteger o núcleo dos seguintes riscos:
- Abuso de gerenciamento de conta de usuário
- Solicitações de acesso não autenticadas para o administrador do WordPress
- Redirecionamentos não desejados ou não autorizados
- Expor dados privados dos usuários
- Solicitações de acesso à referência de objeto direta
- Configuração errada do servidor
- Injeção de código não autorizada
- Cópias de scripts entre sites de usuários não autorizados
- Forças cruzadas de pedidos cruzados pelo qual os hackers abusam do WordPress não
- Plugins, temas, frameworks, bibliotecas, etc.
A segurança do WordPress requer sua vigilância
Tendo analisado tudo isso, acho minha mente um pouco mais à vontade saber que há uma equipe dedicada trabalhando para manter o núcleo do WordPress seguro em todos os momentos. No entanto, isso não significa que eu (ou você) deve ser adormecido em uma sensação de tolerância.
Como já vimos – mesmo recentemente em janeiro passado com os 1,5 milhões de sites desfigurados – não importa o quão bom o Projeto WordPress esteja em monitorar e proteger a plataforma, os hackers encontrarão uma maneira de entrar.
É por isso que é importante desempenhar seu papel em tudo isso e manter seus sites protegidos de todos os ângulos. Uma outra alternativa é solicitar uma consultoria de um especialista em WordPress.