Como a plataforma de publicação na web e o sistema de gerenciamento de conteúdo mais populares do mundo, o WordPress tem muitos recursos que os web designers, desenvolvedores e administradores passaram a amar ao longo dos anos. Mas tal popularidade difundida traz consigo algumas grandes preocupações de segurança.

Os problemas de segurança envolvendo o WordPress são semelhantes aos que afetam o Microsoft Windows.

No Windows, temos um sistema operacional extremamente popular desenvolvido por alguns dos melhores engenheiros do mundo e, ainda assim, parece que uma nova vulnerabilidade de segurança é descoberta nele todos os dias.

Há uma boa explicação para isso e está diretamente ligada à grande participação de mercado do sistema operacional. Os hackers sabem que milhões de computadores em todo o mundo são executados no Windows, e isso faz dele um alvo muito grande. A qualquer momento, inúmeros grupos de cibercrimes estão trabalhando ativamente em novas explorações de segurança contra o Windows, e o mesmo pode ser dito sobre o WordPress.

Falhas Recentes de Segurança do WordPress

A história nos diz que um sistema com uso muito alto e participação de mercado como o WordPress apresenta um alvo atraente para os hackers. Notícias recentes também ajudam a provar este ponto:

  • Em seu relatório de intrusão cibernética de 2023, a CrowdStrike, empresa de segurança da informação, descreveu como um único laptop comprometido derrubou toda a rede de uma marca de roupas bem conhecida. A violação explorou uma vulnerabilidade que foi especificamente codificada para afetar os sites do WP.
  • Em novembro de 2018, o desenvolvedor de antivírus, Sophos, relatou que o plugin WP desenvolvido para conformidade com o Regulamento de Dados de Proteção Geral (GDPR) da União Europeia foi invadido por meio de um ataque admin-ajax.php . Com essa exploração, os hackers conseguiram, não apenas injetar malware, mas também criar contas de administrador do WP com o objetivo de obter controle total do back-end.

Vulnerabilidades conhecidas do WordPress

Em 2019, os administradores e desenvolvedores do WP devem ter em mente que os riscos de segurança continuarão a ser elevados. Novas vulnerabilidades serão descobertas regularmente, por isso é importante que os administradores mantenham seus sites seguros, resolvendo problemas conhecidos.

O restante desta seção descreve algumas vulnerabilidades conhecidas a serem observadas.

WP SEO Spy Plugin

Os componentes de plug-in são responsáveis ​​pelas vulnerabilidades mais comuns usadas pelos hackers do WP, e alguns dos plugins mais antigos estão entre os piores criminosos.

O plugin SEO Spy vale a pena porque inclui uma biblioteca Flash que foi preterida desde 2009. Flash, devido aos seus problemas de segurança inerentes, não é muito mais usado. Seguindo essa tendência, os criadores do plugin SEO Spy o abandonaram e pararam de fornecer atualizações. Verifique se você não tem esse plug-in há muito esquecido, mas perigoso, instalado em seu site.

GandCrab Ransomware

Nos últimos dois anos, os ataques de ransomware fizeram manchetes de notícias chocantes, e essa tendência de cibercrime deve continuar em 2023. O ransomware GandCrab foi detectado pela primeira vez em julho de 2018 e infectou vários sites do WordPress.

Pesquisadores de segurança rastrearam muitos dos ataques do GandCrab a grupos russos de cibercrime. As táticas dos criminosos envolvem a emissão de chaves inválidas como forma de reverter a criptografia de arquivos após o recebimento dos pagamentos de resgate. A melhor proteção contra ataques de ransomware é ter uma estratégia confiável de backup de dados .

Injeção de Objeto PHP

Esse ataque de autenticação e serialização está relacionado a algumas vulnerabilidades, uma delas envolvendo o plug-in do Formulários Google, e a outra, uma injeção de código PHP mal-intencionado.

Felizmente, essas questões foram amplamente discutidas na conferência Black Hat USA 2018. Eles foram prontamente endereçados no momento em que o WordPress versão 5.0.1 foi lançado no final daquele ano. Em 2019, a melhor defesa contra ataques de injeção de objetos PHP no WP é atualizar para a versão 5.0.1.

Execução Remota de Código no PHPMailer

Muitos dos riscos de segurança que afetam o WordPress podem ser evitados usando apenas a versão mais recente do CMS e garantindo que todos os componentes do plug-in estejam atualizados. Fraqueza do PHPMailer remonta a 2016, e foi bastante infame porque impactou milhares de sites.

As brechas de segurança foram corrigidas, mas, atualmente, existem plugins de WP similares que obtêm melhores avaliações do que o PHPMailer, então você pode evitar esse plugin problemático.

Credenciais de login do WP invadidas

Essa fraqueza não pode ser atribuída ao WordPress. É o resultado de práticas de segurança insatisfatórias entre administradores e criadores de conteúdo. Como mencionado anteriormente, os hackers estão constantemente procurando maneiras de invadir os sites do WP, e o fazem monitorando redes Wi-Fi públicas e até privadas.

Os webmasters que gerenciam o CMS de back-end de um site, seja a partir de sua máquina pessoal ou de uma rede da empresa, devem criptografar o tráfego em uma rede privada virtual (VPN) durante sessões administrativas remotas. A falha em usar a criptografia básica deixa sua conexão exposta a ataques cibernéticos rudimentares, o que significa que os hackers podem obter acesso ao seu CMS.

Firewall Pike

Este é outro plugin que pode ser problemático se não estiver configurado corretamente. Não há nada de fundamentalmente errado com o Pike Firewall; surgem problemas quando os usuários modificam inadvertidamente suas configurações para permitir que o tráfego anônimo acesse o painel de administração.

Um firewall WP nunca deve ser considerado um substituto para um firewall de servidor tradicional. Eles são úteis como plug-ins de bloqueio de tráfego, mas precisam ser cuidadosamente configurados para alcançar o resultado desejado.

Ataques internos com injeção de código mal-intencionado

Embora essa vulnerabilidade não esteja diretamente relacionada ao núcleo do WordPress, os desenvolvedores do sistema tomaram medidas para resolvê-lo na versão 5.0.1. Mesmo com as proteções recém-adicionadas, a melhor maneira de os administradores impedirem a injeção de códigos maliciosos internos é ter um bom relacionamento com colegas de trabalho, parceiros e criadores de conteúdo.

Saiba quem tem acesso ao seu sistema e o que eles têm permissão para fazer. Um usuário do CMS habilitado com PHP cujas credenciais permitem que eles façam tão pouco quanto excluir miniaturas de imagens, por exemplo, ainda pode injetar código malicioso, e você nunca saberá quem fez isso.

Embora possa parecer que o WordPress tem mais do que seu quinhão de vulnerabilidades de segurança, ele é o maior participante no gerenciamento de conteúdo e, como no Windows, os hackers tendem a segmentar sistemas com a maioria dos usuários.

A linha inferior é, não há razão para se preocupar com as falhas de segurança no WordPress. Falhas de segurança no código do sistema são encontradas rapidamente e corrigidas no momento em que são descobertas. Se os proprietários do site aplicarem essas correções imediatamente ao serem lançados, poderão esperar uma experiência segura no WordPress.

Quais medidas você está tomando para garantir que seu site WordPress permaneça seguro?

Tags
#como deixar meu site seguro #como deixar o site seguro #como deixar o site seguro no chrome #como deixar um site seguro #como deixar um site seguro no chrome #site nao seguro #site seguro #site seguro para compras
Posted in
#Segurança