Blog

Descubra Como Proteger Seu Site WordPress

Descubra Como Proteger Seu Site WordPress

Um website é tão seguro quanto o código que está por trás dele. Com mais de 30.000 plugins gratuitos para o WordPress, algumas escolhas podem tornar seu site vulnerável a hackers. Sabendo escolher corretamente os plugins ao entender o valor e a necessidade de sua instalação pode ajudar a melhorar a segurança do site significativamente.

Neste artigo iremos examinar:

  • Riscos conhecidos de alguns plugins gratuitos para WordPress
  • Como reduzir as chances de ser hackeado.
  • Como escolher os plugins mais eficientes.

Com quase 75 milhões de sites utilizando WordPress, é fato que a ferramenta continua a ser a mais popular para construção de websites. Seu sucesso é dado em parte por todas as opções de customização disponíveis, incluindo milhares de plugins gratuitos criados pela comunidade e publicados no repositório de plugins do WordPress que são utilizados para estender sua funcionalidade básica.

A popularidade do WordPress, combinada com a facilidade de programar novos plugins e enviá-los ao repositório, traz ao desenvolvedor alguns prós e contras. De um lado, há muitas opções de escolha, e há um plug-in para quase tudo que você possa imaginar ou queira fazer. De outro, a abundância de opções deixa o usuário correndo um potencial risco. Criados por desenvolvedores muitas vezes desconhecidos, fora do time oficial do WordPress, pode ser difícil garantir a integridade de cada plug-in.

Como os plugins podem deixar seu website vulnerável?

image

Alguns plugins contém códigos obsoletos ou depreciados, pois como seus criadores não os atualizam constantemente, seus códigos podem não estar de acordo com as novas versões oficiais do WordPress. Outros plugins podem conter código mal feito e shortcuts que podem abrir brechas de segurança. A falta de elementos de segurança em plugins pode abrir seu site para qualquer coisa, desde SQL injections (injeção de código SQL malicioso) ou até mesmo ataques XSS (cross-site scripting, scripts que são enviados de fora do site e alteram dados internos).

Alguns plugins possuem tantas falhas que podem, até mesmo, deixar seu site fora do ar.

Os melhores plugins também podem ser hackeados!

image

Joost de Valk é o criador de dois dos plugins mais populares do WordPress, Yoast SEO e Google Analytics by Yoast. No início do ano passado ele descobriu uma vulnerabilidade XSS em seus plugins. Ele aprendeu que os argumentos add_query_arg e remove_query_arg, quando implementados em plugins, permitiam invasões através de XSS.

XSS funciona em páginas web dinâmicas. Quando o conteúdo enviado ou recebido não é propriamente tratado, permite que um texto seja interpretado como código. Um hacker pode digitar código malicioso e iniciar uma variedade de problemas no sistema, incluindo roubar dados de login, ter acesso ao conteúdo do site e inserir código oculto que pode transferir dados sensíveis para qualquer visitante do site.

De Valk descobriu que seus plugins não eram os únicos afetados; plugins populares como Jetpack, Gravity Forms, e todo o pacote All In One SEO tinham problemas no código. Os desenvolvedores destes plugins corrigiram seus códigos e publicaram atualizações. Quando De Valk forneceu instruções para outros desenvolvedores em seu blog, muitos outros desenvolvedores ainda não sabiam e ainda podem estar vulneráveis a invasões devido a código antigo sem manutenção.

Como Você Pode Proteger Seus Sites WordPress

image

Até o mais confiável dos plugins algumas vezes tem problemas de segurança e os hackers sempre estão em busca de falhas a serem exploradas. Algumas falhas que hackers descobrem podem ficar ocultas por anos. É de extrema importância que os plugins sejam escolhidos com cautela e fiquem sempre atualizados. Proteger o seu site WordPress contra a vulnerabilidade de plugins requer vigilância e manutenção periódica.

Sete dicas para proteger seu site contra fraquezas de segurança em plugins

image

  1. Atualize o núcleo do WordPress e também seus plugins para ter certeza que você está atualizado com as últimas medidas de segurança.
  2. Utilize um tema de WordPress moderno e atualizado. Temas antigos possuem em sua maioria plugins internos que não são atualizados e apresentam vulnerabilidades.
  3. Quando pesquisar a utilização de qualquer plugin, verifique a data da última atualização e evite plugins antigos que não foram testados com a versão mais atual do WordPress.
  4. Quando decidir entre plugins que tenham as mesmas funcionalidades, escolha aquele que tem maior número de instalações e melhor avaliação, eles oferecem um risco menor e tem a garantia de funcionar, uma vez que tantos outros o estão utilizando.
  5. Até os plugins inativos em seu site WordPress possuem um risco de segurança. Exclua aqueles que não são mais necessários. Quanto menos plugins você utilizar, menor será o risco de um hacker encontrar uma brecha.
  6. Nenhum plug-in é 100% seguro, mas o Repositório Oficial de Plugins do WordPress verifica cada plug-in antes de disponibilizar para download aos usuários do site. Baixe apenas plugins que são confiáveis, dentro da comunidade ou em sites de terceiros com boa reputação
  7. Utilize o Banco de Dados de vulnerabilidades da WPScan para monitorar quais vulnerabilidades de plugins já são conhecidos até o momento, e também aprenda por lá como eles podem ser corrigidos.

Seguindo estas dicas é um bom começo para manter um site seguro e à salvo de ataques. Além de medidas de segurança, plugins também afetam o desempenho do WordPress, portanto, use somente o necessário para tornar seu site mais útil sem torná-lo pesado.

Traduzido de 7 Tips for Protecting Your Site From WordPress Plugin Vulnerabilities por Kelso Kennedy

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Digite os caracteres da imagem abaixo

Por favor, digite os caracteres desta imagem na caixa de entrada