Leia o Relatório Anual de Vulnerabilidade do WordPress 2021
Publicados: 2022-01-27Como usuário ou desenvolvedor do WordPress, você já sabe que um dos maiores desafios que enfrenta é proteger totalmente seu site contra vulnerabilidades e ameaças de ataques maliciosos.
Em um mundo incerto onde a segurança de sites e online está sob ataque constante, todos os proprietários de sites WordPress precisam levar seus protocolos de segurança mais a sério do que no passado.
Os dados recém-lançados em nosso primeiro Relatório de Vulnerabilidade do WordPress de 2021 não apenas mostram o ano inteiro das vulnerabilidades do WordPress relatadas em 2021, mas também revelam as vulnerabilidades específicas que os hackers exploram com mais frequência.
Por exemplo, você sabia que 97,1% do total de vulnerabilidades do WordPress em 2021 foram causadas por plugins? É importante saber se a execução de um site WordPress seguro é importante para você.
Aqui no iThemes, não queremos apenas apontar problemas. Também queremos oferecer soluções comprovadas que funcionem para manter seu site WordPress totalmente seguro contra vulnerabilidades. E você aprenderá exatamente o que fazer para proteger totalmente seu site WordPress depois de revisar esses dados.
A maior lição de 2021: fique de olho nos seus plugins do WordPress
Em 2021, 97,1% de todas as vulnerabilidades do WordPress divulgadas no ano passado foram devido a problemas com plugins. Você leu certo.
Vulnerabilidades de 2021 por fonte
| Fonte de vulnerabilidade | Número reportado | Porcentagem do Total (1.628) |
|---|---|---|
| Núcleo do WordPress | 8 | 0,05% |
| Plug-ins | 1581 | 97,1% |
| Tema | 39 | 2,4% |
Mas o mais preocupante é que, das 1.581 vulnerabilidades de plugins relatadas em 2021, 23,2% delas não tinham correção conhecida. Isso significa que, à medida que avançamos para 2022 e além, precisamos estar ainda mais atentos aos plugins que baixamos e usamos.
Por exemplo, embora você possa obter uma solução de plug-in gratuita de um desenvolvedor de plug-in desconhecido, você confia totalmente em sua segurança? Como os dados mostram, 29% das vulnerabilidades de plugins relatadas ainda precisam ser corrigidas por seus desenvolvedores.
Status do plug-in no momento da divulgação
| Nível de ameaça | Número reportado | Porcentagem do Total (1.628) |
|---|---|---|
| Corrigido | 1156 | 71% |
| Nenhuma correção conhecida | 377 | 23,2% |
| Plug-in fechado | 95 | 5,8% |
Sempre que possível, fique com os desenvolvedores de plugins em que você confia e nunca use plugins e temas do WordPress nulos. E, claro, mantenha seus plugins e temas atualizados com os patches disponíveis sempre que forem lançados.
Mas mesmo quando você fizer isso, as vulnerabilidades ainda serão exploradas por hackers habilidosos e invasores maliciosos antes que os desenvolvedores de plugins possam criar patches para corrigi-los.
É exatamente por isso que seu site WordPress precisa de proteção de segurança sólida, como discutiremos em um minuto.
Por enquanto, é importante saber que o plug-in iThemes Security Pro possui um scanner de site integrado que combina com o recurso de gerenciamento de versão para verificar automaticamente vulnerabilidades conhecidas e atualizar automaticamente quaisquer plug-ins vulneráveis para que você não precise se preocupar tanto sobre a segurança do seu site.
Um grande aumento em setembro de 2021 de vulnerabilidades relatadas
Setembro foi o mês que se destacou dos demais. De fato, setembro registrou 20,5% do total de vulnerabilidades relatadas, ou 335 no total. Para perspectiva, o mês que viu o segundo maior número de vulnerabilidades foi outubro, que teve 173 reportadas. Julho não ficou muito atrás, com 157 ocorrências.
Vulnerabilidades por plug-in/tema/núcleo individual por mês (2021)
| Mês | Plug-ins | Tema | Testemunho |
|---|---|---|---|
| Janeiro | 19 | 0 | 0 |
| Fevereiro | 42 | 2 | 0 |
| Marchar | 58 | 1 | 0 |
| abril | 67 | 1 | 2 |
| Maio | 37 | 5 | 2 |
| Junho | 80 | 7 | 0 |
| Julho | 157 | 7 | 0 |
| Agosto | 149 | 0 | 0 |
| Setembro | 335 | 3 | 1 |
| Outubro | 173 | 1 | 0 |
| novembro | 120 | 0 | 0 |
| dezembro | 45 | 0 | 0 |
Embora certamente não seja possível saber se um padrão semelhante ocorrerá à medida que avançamos em 2022, esse é certamente um dado importante para ficar de olho.
Vulnerabilidades por nível de ameaça por mês (2021)
| Mês | Crítico | Alto | Médio | Baixo |
|---|---|---|---|---|
| Janeiro | 5 | 3 | 11 | 1 |
| Fevereiro | 25 | 10 | 0 | 21 |
| Marchar | 16 | 19 | 35 | 0 |
| abril | 25 | 27 | 37 | 1 |
| Maio | 4 | 18 | 32 | 3 |
| Junho | 7 | 18 | 64 | 1 |
| Julho | 8 | 65 | 120 | 9 |
| Agosto | 11 | 135 | 56 | 37 |
| Setembro | 19 | 174 | 156 | 38 |
| Outubro | 8 | 73 | 75 | 62 |
| novembro | 9 | 46 | 53 | 22 |
| dezembro | 0 | 30 | 18 | 9 |
Cross-Site Scripting como a vulnerabilidade de plug-in mais comum
Cross-site scripting (XSS) é um tipo de vulnerabilidade de segurança de site encontrada em muitos aplicativos WordPress, como plugins e temas.
Esses ataques XSS permitem que os invasores injetem scripts do lado do cliente em páginas da Web do WordPress visualizadas por outros usuários. Uma vulnerabilidade de script entre sites pode ser usada por invasores para ignorar os controles de acesso e acessar totalmente o back-end do seu site.
Os scripts entre sites realizados em sites WordPress em 2021 representaram 54,4% de todas as vulnerabilidades do WordPress. E isso foi um total de 885 vulnerabilidades totais.
| Nível de ameaça | Número reportado | Porcentagem do Total (1.628) |
|---|---|---|
| Script entre sites (CSS) | 885 | 54,4% |
| Solicitação de falsificação entre sites (CSFR) | 167 | 10,2% |
| Injeções de SQL | 152 | 9,3% |
| Ignorar | 68 | 4,2% |
| Vulnerabilidades RCE | 20 | 1,2% |
| Vulnerabilidades do PHP | 19 | 1,2% |
| Divulgações de Var | 19 | 1,2% |
| API REST | 11 | 0,7% |
| Divulgação de informações confidenciais | 6 | 0,4% |
| Todos os outros | 281 | 17,3% |
Como você pode ver, o script entre sites é uma grande preocupação de segurança para todos os proprietários de sites WordPress. Mas as preocupações com a vulnerabilidade não param por aí.
Outros 10,2%, ou 167 vulnerabilidades, resultaram de solicitações de falsificação entre sites (CSFR).
A falsificação de solicitação entre sites, também conhecida como ataque com um clique ou sessão de equitação, é um tipo de exploração maliciosa de um site em que comandos não autorizados são enviados de um usuário no qual o aplicativo da Web confia.
Não demora muito para ver que, sem os protocolos de segurança adequados do WordPress, seu site WordPress está aberto a ataques entre sites de todos os tipos.
Mas esses não são os únicos tipos de vulnerabilidades com as quais você deve se preocupar. Além deles, existem sete tipos distintos de vulnerabilidades que foram relatadas em 2021.
E não descarte os 281, ou 17,3%, das vulnerabilidades relatadas que são rotuladas no relatório como “Outras”.
Muitas vezes, esses tipos de ataques são aqueles que ainda não são compreendidos pelos desenvolvedores de temas e plugins e exigem um poderoso plugin de segurança do WordPress para evitar que danifiquem ou invadam seu site.
Níveis de ameaça de vulnerabilidade em 2021
| Nível de ameaça | Número reportado | Porcentagem do Total (1.628) |
|---|---|---|
| Crítico | 137 | 8,4% |
| Alto | 630 | 38,7% |
| Médio | 678 | 41,6% |
| Baixo | 183 | 11,2% |
Vulnerabilidades do WordPress Core e Tema
Como proprietário de um site WordPress, você provavelmente já sabe a importância de manter seus plugins atualizados o tempo todo para evitar possíveis ataques.
Afinal, a grande maioria das vulnerabilidades são exploradas por meio de plugins.
Mas, como indicam os números de 2021, os plugins não são onde seus protocolos de segurança começam e terminam. Mesmo se você estiver 100% vigilante com os plugins que usa e mantê-los atualizados, seu site ainda pode ser explorado por vulnerabilidades em seu tema.
Também pode ser explorado através do software principal do WordPress. No ano passado, vimos um total de 47 vulnerabilidades que foram exploradas através do núcleo do WordPress e vários temas. Esse número representa cerca de 2,5% de todas as vulnerabilidades de segurança do WordPress em 2021.
E embora isso possa não parecer muito, basta uma vulnerabilidade de site explorada para arruinar completamente a reputação do seu site e negócios.
Obviamente, a primeira solução é manter o núcleo do WordPress e seu tema totalmente corrigidos e atualizados o tempo todo. Mas, como dissemos em relação aos plugins, isso só ajuda a resolver vulnerabilidades conhecidas do passado.
Para os novos, você precisa executar um software de segurança que saiba detectar quando ataques maliciosos estão acontecendo em tempo real.
Certifique-se de manter a segurança do site em foco em 2022
É aqui que o plugin iThemes Security Pro entra em ação para ajudar a manter seu site WordPress seguro. Com nossa solução de segurança WordPress simples e fácil de usar, você poderá dormir melhor à noite sabendo que seu site está totalmente protegido contra hackers e ataques maliciosos.
O primeiro passo é entender o bombardeio de ameaças de segurança em que seu site está constantemente. Depois disso, é hora de obter o iThemes Security Pro e levar a sério o protocolo de segurança do seu site WordPress.
Com um scanner de site WordPress integrado para verificar vulnerabilidades conhecidas do WordPress, emparelhado com camadas de proteção para sua página de login, como proteção de força bruta, bem como detecção de alterações de arquivos e registro de usuários, seu site tem uma forte defesa contra hacks e violações de segurança .
O Melhor Plugin de Segurança WordPress para Seguro & Proteger WordPress
Construído pelos especialistas em segurança do WordPress desde 2014
Atualmente, o WordPress alimenta mais de 40% de todos os sites, por isso se tornou um alvo fácil para hackers com intenções maliciosas. O iThemes Security Pro elimina as suposições da segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress.
