7 mitos de segurança do WordPress: completamente descobertos e desmascarados
Publicados: 2023-10-21Apesar de ser o sistema de gerenciamento de conteúdo mais popular do mundo, mitos sobre a segurança da plataforma WordPress continuam circulando. Devido à sua natureza de código aberto, usuários inexperientes podem considerá-lo menos seguro do que um produto comercial. Além disso, eles podem ficar nervosos com relatos de problemas de segurança do WordPress nas notícias.
Mito nº 1: Segurança é tarefa do seu provedor de hospedagem
Como iniciante ou proprietário de um site pela primeira vez, você pode pensar que manter seu site seguro é domínio das pessoas que você paga para mantê-lo online. E isso é verdade de certa forma; seu provedor de hospedagem na web é de fato a primeira linha de defesa. É trabalho deles garantir que seu servidor web não seja fácil de acessar e proteger a entidade física em que seu site reside. Se não o fizerem, serão simplesmente maus anfitriões.
A segurança do site é principalmente sua responsabilidade
No entanto, fora isso, o envolvimento do seu provedor de hospedagem com a segurança do seu site WordPress realmente depende do seu plano. Em um host compartilhado, host VPS ou mesmo um servidor dedicado, você basicamente aluga apenas o espaço do servidor. O que você faz com isso é com você.
Isso significa que o provedor de hospedagem não ajuda você de forma alguma a manter seu site WordPress seguro. Esse é o seu trabalho.
Claro, alguns provedores oferecem recursos de segurança adicionais, como firewall ou CDN. Eles também monitorarão seus servidores em busca de malware, vírus, etc., e tomarão medidas se detectarem algo em seu site. No entanto, muitas vezes isso também significa que eles desabilitam seu site e pedem para você corrigi-lo. Não é uma solução ideal, especialmente se você for iniciante.
Hospedagem gerenciada pode ajudar
Se você deseja que seu provedor de hospedagem tenha um papel mais ativo na segurança do seu site WordPress, você deve optar pela hospedagem gerenciada. É chamado assim porque, além de fornecer espaço no servidor, um provedor de hospedagem gerenciada também assume algumas das tarefas do dia a dia inerentes à administração de um site. A segurança é um deles, assim como a otimização da velocidade, atualizações do site e suporte especializado.
É claro que esse tipo de serviço tem um custo extra, mas muitas vezes vale a pena, dependendo da sua confiança em seu próprio nível de habilidade para proteger seu site. Pode proporcionar muita tranquilidade.
No entanto, no geral, vamos dissipar esse mito de segurança do WordPress de uma vez por todas: a menos que faça parte do serviço que você reservou, seu provedor de hospedagem não é responsável pela segurança do seu site e por evitar que ele seja violado e hackeado. Essa responsabilidade é sua.
Mito nº 2: o próprio WordPress é um risco à segurança
Agora, você deve estar pensando: “Ok, se o provedor de hospedagem não faz isso por mim, não é arriscado confiar em um software gratuito? Quão bom pode ser algo que um grupo de voluntários faz em seu tempo livre? Além disso, vejo essas pessoas do Wix me dizendo na TV que o WordPress também não é seguro.”
Tudo bem, vamos abordar este a seguir.
A primeira coisa que você precisa entender é que nada conectado à Internet é totalmente seguro. Milhares de sites são hackeados todos os dias, dos maiores aos menores. É como a vida, no final, existem apenas diferentes níveis de insegurança e certifique-se de tornar o mais improvável possível que algo ruim aconteça.
WordPress tem extensas medidas de segurança
Aqui, o WordPress não está pior do que outros. Na verdade, ao longo dos anos, a plataforma implementou um sistema robusto para descobrir e abordar questões de segurança no produto principal.
Há uma equipe de segurança dedicada composta por cerca de 50 especialistas, incluindo desenvolvedores líderes, pesquisadores de segurança e outros profissionais de segurança da web. Muitos deles trabalham para o WordPress.com, uma empresa que tem interesse em proteger contra falhas o software no qual todo o seu negócio se baseia.
Além disso, a equipe consulta equipes de segurança de outras empresas de hospedagem e até mesmo sistemas de gerenciamento de conteúdo.
Sua função é monitorar ativamente o WordPress em busca de vulnerabilidades e responder rapidamente a qualquer coisa que surgir. Se algo relatado for grave o suficiente, eles terão a possibilidade de criar e enviar um patch imediato. Isso será instalado automaticamente em qualquer site WordPress superior à versão 3.7, a menos que você desative especificamente esse recurso.
Além disso, o WordPress geralmente recebe atualizações frequentes, cerca de duas a três novas versões principais por ano, com atualizações secundárias, de manutenção e de segurança entre elas. Cada um vem com correções para possíveis problemas de segurança e um extenso processo de testes.
Sua comunidade é seu principal ativo
Além do acima exposto, você pode ter uma imagem errada de como realmente é esse “grupo de voluntários”. Muitos deles são funcionários de empresas milionárias que usam o WordPress em seus negócios. Além disso, todos eles estão envolvidos no jogo para manter seguro o software no qual baseiam seu sustento.
Em geral, a natureza de código aberto do WordPress é parte de sua força. O código-fonte está disponível gratuitamente, aberto para qualquer pessoa inspecionar, bem como encontrar e relatar brechas de segurança. E muitas pessoas fazem. Quero dizer, basta olhar para o número de colaboradores do WordPress 6.3.
Finalmente, existem muitos provedores de hospedagem especializados e plug-ins de segurança para melhorar ainda mais a segurança dos sites WordPress. Sem mencionar os milhares de postagens em blogs e tutoriais que também ajudam os usuários a implementar medidas de segurança.
Então, o que dizemos sobre esse mito de segurança do WordPress? Não é verdade. Os sistemas implementados para garantir a segurança e a impregnabilidade do produto principal do WordPress são iguais ou superiores aos das entidades comerciais.
Mito nº 3: WordPress é a plataforma mais invadida
Algo que pode contribuir para o seu desconforto em usar o WordPress são as estatísticas que dizem que é o CMS mais hackeado que existe. E é verdade, a plataforma já foi notícia com alguns problemas de segurança de alto perfil no passado. Quero dizer, basta olhar para este gráfico, isso não deixa você cético em relação ao uso do WordPress para algo sério?
Considere o tamanho do WordPress
Neste ponto, temos que nos referir a uma das primeiras coisas que dissemos na introdução. WordPress é o sistema de gerenciamento de conteúdo mais popular que existe.
Quão popular é isso?
De acordo com a W3techs, ele alimenta mais de 43% de todos os sites da Internet.
Em números absolutos, são mais de 470 milhões de sites. São muitos sites. Além disso, como você pode ver no gráfico acima, nenhum outro sistema chega nem perto dessas estatísticas.
Então, por que o WordPress é a plataforma mais hackeada? Porque existem muito mais sites WordPress para hackear.
Pense nisso: se você ganhasse a vida invadindo sites de outras pessoas, qual sistema você escolheria? Aquele com um suprimento infinito de vítimas em potencial e mais chances de alguém deixar uma porta lateral aberta, ou aquele onde os alvos estão distantes? Você provavelmente sabe a resposta.
O núcleo do WordPress não é o problema
Finalmente, se você se aprofundar nas estatísticas, descobrirá rapidamente que apenas uma pequena porcentagem de hacks bem-sucedidos do WordPress acontecem devido ao próprio WordPress. E mesmo nesses casos, muitas vezes porque o site está rodando uma versão desatualizada.
A grande parte das vulnerabilidades vem das extensões do WordPress, em particular dos plug-ins.
Então, sim, o WordPress é de fato a plataforma mais violada, e muito desse mito de segurança é verdade. No entanto, a razão por trás disso é muito mais sutil.
Mito nº 4: então os plug-ins do WordPress não são seguros
Um observador atento (o que você certamente é) deve ter notado que acabamos de jogar toda a nossa discussão debaixo do ônibus, lá em cima. Aparentemente, admitimos que os plug-ins do WordPress são um grande problema de segurança.
Como eles são uma parte central do ecossistema e da experiência do WordPress (porque todos os usam para adicionar mais recursos aos sites), isso deve significar que você não tem escolha a não ser construir sites inseguros com o WordPress.
Ah não, preso!
O problema com plug-ins
Naturalmente, aqui também você precisa ser mais matizado.
Sim, obviamente há um problema com os plug-ins do WordPress. Eles são um ponto de entrada comum em sites.
No entanto, para colocar isso em perspectiva, primeiro você precisa observar o grande número de plug-ins que existem. Só o repositório do WordPress tem cerca de 60.000. Além disso, há muitos mais disponíveis em outras lojas na web.
Porém, o que é um ativo do ecossistema WordPress também pode ser um passivo. Os autores desses plug-ins têm diferentes níveis de habilidade e nem todos os plug-ins são mantidos e atualizados ativamente. Portanto, eles podem ter diferentes níveis de qualidade e segurança de código.
A comunidade WordPress está ciente disso e faz o possível para responder a esse problema. Houve casos em que plugins com problemas conhecidos foram eliminados do diretório de plugins. Além disso, temos pessoas trabalhando em um verificador de plugins semelhante ao plugin Theme check para aumentar a qualidade geral dos plugins do WordPress.
Portanto, a primeira regra para evitar esse risco de segurança é certificar-se de usar plug-ins que a) venham de fontes confiáveis eb) recebam suporte e manutenção ativos.
Não se trata apenas dos plug-ins, trata-se de como você os usa
No entanto, os próprios plugins são apenas uma parte da equação. Em muitos casos, o problema está na forma como as pessoas os utilizam em seus sites. No mesmo relatório mencionado acima, também afirma que 36% dos sites hackeados tinham um plugin desatualizado.
Então, assim como acontece com o núcleo do WordPress, o problema não é necessariamente o software, porque os problemas de segurança estão realmente sendo corrigidos, é que os usuários não aplicam essas correções.
Além disso, muitas vezes há um problema com o número de plugins. Como é óbvio acima, as extensões trazem consigo alguns riscos. Portanto, quanto mais você tiver, mais portas laterais potenciais você introduzirá em seu site.
A solução: instale apenas quantos plug-ins forem necessários para realizar o trabalho. Se você não estiver usando ativamente um plugin, exclua-o. Não deixe que ele permaneça no seu site, onde não faz nada além de envelhecer e potencialmente oferecer um risco à segurança.
Mito nº 5: Seu site não é um alvo, ninguém se importa com isso
Este é um clássico entre os mitos de segurança de sites, mesmo fora do WordPress. Muitas pessoas, especialmente aquelas que administram sites como hobby ou pequenos, não acham que eles oferecem um alvo lucrativo o suficiente para que um hacker tenha interesse em atacá-lo. Quero dizer, se você está apenas postando fotos do seu hamster de estimação, o que alguém poderia ganhar ao violar o seu site?
Hackear não é pessoal
Há duas coisas que você precisa entender aqui. Por um lado, hackear sites não é nada parecido com o que você vê nos filmes. Não há uma pessoa com capuz sentada na frente de um laptop que escolhe seu site a dedo e depois gasta seu tempo procurando manualmente maneiras de acessá-lo.
Não, a grande maioria dos ataques acontece automaticamente. Existe um exército de bots automatizados que verificam constantemente a web em busca de vulnerabilidades conhecidas em sites e, se encontrarem alguma, tiram vantagem disso. Na maioria das vezes você é simplesmente uma vítima da oportunidade.
Assumir o controle do seu site não é realmente o objetivo
Em segundo lugar, hackear um site muitas vezes não significa roubar dados financeiros ou outras informações confidenciais. Na maioria dos casos, os hackers estão simplesmente tentando assumir o controle de partes do seu site para usá-lo em benefício próprio:
- Recrute-o como parte de uma botnet para usá-lo em ataques DDoS
- Envie spam do seu servidor de e-mail
- Espalhe malware nos computadores dos seus visitantes
- Publique links para sites fraudulentos em seu site
Algumas pessoas também fazem isso simplesmente para desfigurar seu site e provar suas habilidades.
Então, tenha isso em mente. Isto não é sobre você. Trata-se simplesmente de ser um alvo que pode ser explorado e você deve fazer o possível para evitar isso.
Mito nº 6: Usar senhas fortes manterá seu site seguro
Usar informações de login seguras é definitivamente parte da segurança do WordPress, isso não é um mito. Há muitas maneiras pelas quais senhas e nomes de usuário fracos podem voltar a incomodar você:
- Ataques de força bruta – Significa que um programa está testando aleatoriamente diferentes combinações de nome de usuário e senha até que algo dê certo.
- Credential stuffing – Isto é semelhante aos ataques de força bruta, porém, mais direcionados. Neste caso, um hacker utiliza credenciais que já foram comprometidas, por exemplo, reveladas noutro ataque cibernético. Este ataque baseia-se no facto de muitas pessoas reutilizarem os seus nomes de utilizador e palavras-passe.
Se você não acredita que isso possa ser tão ruim, aqui está um infográfico que mostra quão rápido, em média, os hackers podem quebrar sua senha com base em sua complexidade.
Portanto, senhas fortes ajudam a proteger o seu site. Então por que esse ponto aparece em uma lista de mitos de segurança do WordPress?
Porque senhas fortes por si só não bastam. A segurança de sites é um quebra-cabeça do qual eles são apenas uma peça. Se você negligenciar o resto, ainda estará deixando caminhos importantes abertos para invasores violarem seu site.
Além disso, as senhas são apenas o começo. Para realmente bloquear sua página de login, é melhor limitar as tentativas de login, usar autenticação multifator e considerar um firewall. Além disso, credenciais fortes não são importantes apenas para o site em si, mas também para tudo relacionado a ele, como hospedagem e contas de FTP.
Mito nº 7: basta instalar um plug-in de segurança, tarefa concluída
Muitos iniciantes, que não sabem muito sobre segurança do WordPress, contam com plugins para manter seu site seguro. E plug-ins de segurança do WordPress como WordFence, MalCare ou Sucuri são uma dádiva de Deus para isso. Eles são muito úteis para ajudar usuários inexperientes a proteger seus sites contra invasores com apenas alguns cliques.
No entanto, novamente, esta não é uma maneira infalível de manter seu site seguro. A área de influência desses plug-ins tem seus limites; eles só podem bloquear o site em si, mas não têm poder sobre seu ambiente mais amplo.
Se o seu site residir em um servidor não seguro ou se sua conta de hospedagem for violada por meio de uma senha fraca, seu plugin de segurança será impotente para defender seu site contra isso. Então, novamente, os plug-ins de segurança do WordPress em si não são um mito, apenas não conseguem fazer o trabalho sozinhos.
Mito final: a segurança do WordPress é complicada
A noção de que é difícil manter seu site WordPress seguro é outro mito que impede as pessoas de criar o seu próprio. Embora este seja um tópico importante, também não é ciência de foguetes. No final das contas, a maior parte da segurança de sites se resume a seguir algumas práticas recomendadas:
- Use um provedor de hospedagem adequado, opte por hospedagem gerenciada se quiser assistência com segurança
- Mantenha o WordPress e todos os plugins e temas atualizados
- Tenha apenas o mínimo de extensões em seu site, desative e exclua o que você não está usando ativamente e garanta que o que você tem no site esteja bem conservado
- Certifique-se de que suas credenciais de login sejam fortes e mantenha-as seguras, melhore a segurança limitando as tentativas de login e por meio de autenticação multifator
- Faça backup regularmente do seu site para poder reverter para uma versão anterior
- Use plug-ins de segurança do WordPress para obter assistência, mas também considere as partes sobre as quais eles não têm controle
Com isso implementado, a probabilidade de algo acontecer ao seu site deve ser bastante reduzida, mesmo que nunca possa ser zero.
Qual mito de segurança do WordPress você ouve falar regularmente ou usou para se inscrever? Deixe-nos saber nos comentários!