Segurança do WordPress baseada em fatos e estatísticas

Publicados: 2022-12-12

O WordPress é um alvo comum para hackers mal-intencionados devido ao grande número de pessoas que o utilizam. Algumas estimativas colocam o número total de sites WordPress na internet em 455 milhões. Isso significa que o WordPress executa 43,1% de todos os sites da Internet.

Estatísticas interessantes

Descobrir quantos sites são invadidos é complicado. Há várias razões para isso. Incidentes de hacking são notoriamente subnotificados. A menos que sejam obrigados por lei a divulgar incidentes, muitos administradores e proprietários de sites relutam em fazê-lo. Muitos não sabem que foram hackeados, impossibilitando a denúncia.

Com essas ressalvas fora do caminho, a Governança de TI – fornecedora de soluções de gerenciamento de risco cibernético e privacidade, relatou cerca de 5,1 bilhões (com B) violações somente em 2021. Este valor inclui todas as violações. Olhando para outro relatório, desta vez da Sophos, 30.000 sites (em média) são hackeados diariamente. Isso equivale a 11 milhões de sites sendo hackeados por ano. Sabemos que 43% de todos os sites rodam WordPress, o que nos permite fazer uma estimativa de que 4,7 milhões de sites WordPress são invadidos anualmente. São quase 13.000 sites WordPress invadidos todos os dias.

Esse é um número muito grande - o que levanta a questão: por que o WordPress é tão invadido? É exatamente isso que veremos neste artigo – com base em fatos e estatísticas.

WordPress – quão seguro é, realmente?

O WordPress é um projeto de código aberto com muitas pessoas em todo o mundo trabalhando ativamente nele. A comunidade WordPress é muito forte e inclui algumas das pessoas mais inteligentes e comprometidas que você já conheceu. Com tantas pessoas envolvidas e negligenciando o processo de desenvolvimento, o WordPress tende a ser muito seguro.

A força do WordPress também pode ser sua queda, como as estatísticas nos mostrarão quando nos aprofundarmos em como os sites do WordPress são hackeados.

Os maiores pontos fortes e fracos do WordPress

Nenhum sistema é perfeito, e isso também se aplica ao núcleo do WordPress. O núcleo do WordPress representa os arquivos principais antes que qualquer alteração (como plug-ins, temas e configurações) seja feita. Na verdade, o WordPress Core representou 0,58% de todas as vulnerabilidades em 2021 – de acordo com o relatório de estatísticas de hackers do WordPress da Sucuri. Isso é pouco mais da metade de um por cento de todos os incidentes.

A seguir estão os temas e plugins – nessa ordem. Na verdade, os temas representam 6,61% de todas as vulnerabilidades, enquanto os plugins representam 92,81%.

A Sucuri divide ainda mais temas e plugins por serem gratuitos ou premium. Enquanto temas e plugins premium representam 8,62% de todas as vulnerabilidades de terceiros, suas contrapartes gratuitas representam 91,38%.

Por que bons plugins custam dinheiro

Existem muitas razões pelas quais este é o caso. Plugins e temas vêm em todas as formas e tamanhos – de desenvolvedores respeitáveis ​​a obscuros. A verdade é que, quando bem feito, o desenvolvimento de plugins não é barato. Os desenvolvedores profissionais em tempo integral precisam ser pagos enquanto mantêm boas infraestruturas, e as instalações de teste também acumulam contas.

Isso não quer dizer que todos os plugins gratuitos representem uma ameaça à segurança – longe disso. Muitos desenvolvedores dedicam seu tempo livre para produzir plugins gratuitos de boa qualidade. No entanto, se você deseja um plug-in amplamente testado e suportado, um plug-in premium provavelmente é o caminho a percorrer.

Vulnerabilidades do WordPress – os números

O número de vulnerabilidades conhecidas do WordPress tende a aumentar a cada ano. Na verdade, o WPScan adicionou 1.437 novas vulnerabilidades ao seu banco de dados e 514 no ano anterior. Somente em novembro de 2022, 64 novas vulnerabilidades foram adicionadas.

Considerando a distribuição de vulnerabilidades que discutimos anteriormente, esses números se sustentam quando se olha para o número de plugins do WordPress disponíveis. O repositório WordPress.org lista mais de 60.000 plugins disponíveis no momento da escrita, com mais adicionados diariamente. Os plug-ins também podem ser adquiridos diretamente dos desenvolvedores ou baixados de fontes não oficiais.

Devido ao cenário de vulnerabilidade do WordPress em constante mudança, os ataques direcionados são a exceção e não a regra. À medida que vulnerabilidades antigas são corrigidas e novas são introduzidas, os hackers podem achar difícil acompanhar. Ele também torna os ataques direcionados muito demorados, e é por isso que a maioria dos ataques é automatizada.

Os ataques automatizados empregam o uso de uma ferramenta para verificar automaticamente vários sites, disparando alertas sempre que uma vulnerabilidade é encontrada. Por causa disso, a maioria dos ataques é indiscriminada, e não resultado de rancor. Mas quais ferramentas os hackers usam para esses ataques automatizados? Vamos descobrir.

Como os sites do WordPress são invadidos

O WordPress pode ser invadido de várias maneiras diferentes – os hackers podem ser muito criativos ao perseguir os alvos. Isso torna impossível e perigoso listar todas as maneiras pelas quais um site WordPress pode ser invadido, pois pode fornecer uma falsa sensação de segurança. No entanto, podemos ver um exemplo que ilustra o processo que um hacker normalmente pode executar para invadir um site WordPress.

WPScan – Um scanner de vulnerabilidade do WordPress

wpscan
Interface WPScan: verificação de segurança do WordPress

Uma ferramenta comum que é frequentemente usada por hackers é chamada WPScan. É uma ferramenta gratuita que está prontamente disponível online. É um scanner de vulnerabilidade que verifica sites WordPress e identifica problemas conhecidos e configurações inseguras. Ao iniciar uma verificação de segurança padrão do WordPress com o WPScan, você descobrirá instantaneamente:

  • A versão WordPress
  • Plugins instalados, sua versão e o caminho onde estão instalados
  • Temas instalados, sua versão e o caminho onde estão instalados

O WPScan inclui outras funções, como verificações de enumeração de usuários do WordPress. Essas varreduras identificam e enumeram todos os usuários registrados em um site WordPress, dando aos hackers uma visão de como seu WordPress funciona. Armado com essas informações, o hacker pode lançar um ataque secundário, como um ataque de força bruta de senha do WordPress para obter acesso ao seu sistema.

Aqui, é importante observar por que a segurança de senha do WordPress é tão crucial para a segurança geral do seu site WordPress. Uma senha fraca torna relativamente fácil a invasão de um ataque de força bruta. Da mesma forma, é importante garantir que todas as contas usem senhas fortes. Uma conta de contribuidor comprometida pode não ser capaz de causar muitos danos, mas por meio do escalonamento de privilégios em um site comprometido, um invasor pode obter privilégios administrativos para causar estragos.

Por que os hackers hackeiam

Depois que um malfeitor consegue acessar seu site WordPress, há várias ações que ele pode realizar, como:

  • Crie uma nova conta com privilégios de administrador
  • Redefina a senha das contas existentes para garantir que outros usuários não possam recuperar o acesso ao WordPress
  • Alterar a função de uma conta inativa existente
  • Altere o conteúdo para injetar código malicioso
  • Adulterar os arquivos de código-fonte do WordPress para adicionar código malicioso, como backdoors
  • Adicionar redirecionamentos em arquivos htaccess

Protegendo seu WordPress de ataques

Como vimos, os malfeitores podem adotar várias abordagens para invadir um site WordPress. É lógico, então, que proteger um site WordPress requer uma abordagem mais holística do que simplesmente garantir que os usuários tenham uma senha.

  • Pesquisa – Se você está procurando um provedor de hospedagem WordPress ou um novo plug-in, certifique-se de verificar antes. Os fóruns podem ajudá-lo a obter uma visão rápida de como os clientes se sentem sobre os produtos ou serviços, enquanto os plug-ins devem ter atualizações frequentes e ótimo suporte ao cliente.
  • Teste – Escolher o melhor plugin para o seu WordPress não precisa ser um jogo de adivinhação. Os provedores de plug-ins mais respeitáveis ​​oferecem uma avaliação gratuita de seus plug-ins premium. Isso permite que você os teste antes de confirmar.

Depois de definir sua configuração, você precisará garantir que ela esteja configurada corretamente para segurança máxima. Configurar um WordPress seguro não é uma tarefa única, mas um processo contínuo que inclui:

  • Senhas fortes – Uma política de senha forte do WordPress pode ajudá-lo a garantir que os ataques de força bruta acabem antes de serem bem-sucedidos. Use uma mistura saudável de letras maiúsculas e minúsculas, números e caracteres especiais. Além disso, defina uma política de expiração de senha para garantir que as senhas sejam alteradas com frequência.
  • 2FA – 2FA, abreviação de autenticação de dois fatores, adiciona uma camada de autenticação adicional ao seu login do WordPress. Ao usar 2FA, mesmo que um ataque de força bruta seja bem-sucedido, sem acesso ao seu smartphone, os hackers não conseguirão fazer login.
  • Atualizar – Mantenha o WordPress, plugins e temas sempre atualizados. A implementação de atualizações do WordPress pode ser feita de diferentes maneiras, como mostra esta pesquisa recente. Isso pode ajudá-lo a equilibrar os requisitos administrativos e de segurança sem suar muito.
  • Monitor – Fique de olho nas atividades do usuário e do sistema com um plug-in de segurança, como o WP Activity Log. Isso ajudará você a identificar comportamentos suspeitos desde o início e desligá-los antes que o dano seja causado.

Esta não é uma lista exaustiva, mas é um bom ponto de partida. A segurança do WordPress é um tópico em evolução, que requer manutenção constante. Seguir um blog de segurança do WordPress é uma maneira de se manter atualizado e algo que você pode ler enquanto toma seu café da manhã.

Mantendo o WordPress seguro

A segurança do WordPress é um ciclo e não um processo com começo e fim. Requer atenção e ajustes constantes para responder às ameaças em evolução. Embora isso possa parecer muito trabalho, como costuma acontecer, a manutenção é melhor do que o reparo. Ao dedicar algumas horas todos os meses, você pode reduzir drasticamente os riscos de segurança, ajudando a garantir que seu site continue crescendo.