Desmascarando os mitos de segurança da hospedagem WordPress

A hospedagem do WordPress é complexa. Todo site WordPress depende de uma pilha de software e hardware criada por empresas e comunidades com padrões e valores difíceis de entender de fora. Isso dá origem a mal-entendidos e mitos, especialmente no que diz respeito à segurança.
Neste artigo, analisamos alguns dos mitos de hospedagem WordPress mais perniciosos, com foco particular nos mitos que levam a erros de segurança.

Sites pequenos não são invadidos

A mídia costuma relatar violações de segurança significativas em que o objetivo do invasor parece óbvio. As vítimas armazenam gigabytes de dados pessoais que podem ser usados ​​para roubo de identidade. Muitos armazenam números de cartão de crédito, que são roubados por motivos óbvios. Alguns atacantes estão envolvidos em espionagem industrial.
Nada disso se aplica a sites menores com um punhado de contas de usuário: não há muitos dados pessoais úteis lá. Eles raramente armazenam números de cartão de crédito, optando sabiamente por usar um processador de pagamento. Então, por que um criminoso investiria o esforço para hackear um pequeno site?
Primeiro, não é muito esforço. A maioria dos hackers é automatizada: os bots vasculham a web em busca de sites vulneráveis, comprometendo-os com ataques pré-programados. O invasor solta seus bots e espera que os endereços IP cheguem.
Em segundo lugar, mesmo um site pequeno é valioso. Tem um público, que pode ser infectado com malware. Ele pode ser arrastado para o botnet do invasor e usado para comprometer outros sites ou participar de ataques DDoS. Ele pode ser usado para spam de SEO. Cada site representa um pacote de largura de banda, armazenamento e poder de processamento – todos úteis para criminosos.

Se funciona, por que atualizar?

As pessoas que não passam a vida olhando para o código em uma tela ficam bastante satisfeitas quando a tecnologia faz o que deveria. Eles podem sentir que as atualizações, que trazem mudanças, são uma interrupção indesejada. O WordPress não é difícil de aprender, mas é difícil o suficiente para que o pensamento de mudança preocupe alguns de seus milhões de usuários.
As pessoas que usam o WordPress todos os dias se acostumam com ele. Eles preferem evitar a mudança por causa da mudança e, portanto, muitas vezes relutam em atualizar. Afinal, por que alterar o que funciona.
A resposta do desenvolvedor para isso é dupla. O software nunca fica parado e precisa mudar para acompanhar as mudanças no mundo. E, mais importante, as atualizações corrigem bugs que causam vulnerabilidades de segurança. Um site que não é atualizado há alguns meses é quase certamente vulnerável. Na seção anterior, falamos sobre botnets e hacking automatizado. São os sistemas de gerenciamento de conteúdo sem patches que esses bots procuram. Eventualmente, eles encontrarão um site não corrigido e será hackeado.

Eu saberia se houvesse um problema

Como é um site hackeado? Na maioria das vezes, parece um site que não foi invadido – especialmente para seu proprietário. Como discutimos, os maus atores violam um site porque desejam seus dados, recursos, visitantes ou potencial de SEO. Se o proprietário do site descobrir que foi hackeado, o mau ator perde o acesso a esses recursos. Então, eles são sorrateiros. Eles tentam se esconder.
Se você observar atentamente, poderá notar picos de largura de banda ou uso de memória. Se você verificar regularmente a existência de malware, poderá encontrar o código malicioso. Mas se você usa o site normalmente, é improvável que veja algo errado.
Tome o spam de SEO como exemplo. Quando um site é comprometido, links para sites que o invasor deseja promover são injetados em seu conteúdo. Esses links são visíveis para o Google e podem ser visíveis para visitantes comuns, mas estão ocultos para pessoas conectadas ao site.
É por isso que é uma boa ideia verificar regularmente seu site com uma ferramenta como Sucuri ou Wordfence . Eles detectam códigos maliciosos e informam você sobre isso. Se você não verificar, provavelmente descobrirá um ataque quando o Google começar a avisar seu público de que seu site não é seguro.

SSL Mantém Seu Site Seguro

Os certificados SSL têm dois trabalhos. Eles criptografam os dados que viajam pela rede de um servidor para um navegador e vice-versa. E eles são usados ​​pelos navegadores para verificar se estão conectados ao host que esperam. Isso é tudo que os certificados SSL fazem. Eles são uma ferramenta essencial de segurança e privacidade, mas não protegem os dados armazenados no servidor do site. Tampouco protegem um site de invasores que buscam explorar vulnerabilidades.

Todos os plugins do WordPress são gratuitos

Este é um mito pernicioso que faz com que as pessoas baixem plugins infectados por malware. A maioria dos plugins do WordPress são de código aberto sob a licença GPL. Quando o desenvolvedor distribui o plugin, ele também distribui o código-fonte. Eles são obrigados a fazê-lo pela licença.
Muitas vezes, o software de código aberto é gratuito. Não custa nenhum dinheiro para usar. O próprio WordPress é de código aberto e gratuito. Mas alguns softwares de código aberto não são gratuitos . Os plugins premium do WordPress estão nesta categoria: eles são de código aberto, mas o desenvolvedor espera que os usuários paguem uma taxa de licença para usar o plugin.
Quando os usuários pagam a taxa, eles obtêm o código-fonte, conforme necessário. Mas código aberto não significa que o desenvolvedor tem que dar a todos o código fonte - apenas as pessoas para quem o plugin é distribuído, as pessoas que pagaram. Isso é comumente mal interpretado. É perfeitamente legal pegar o código de um tema premium e distribuí-lo gratuitamente depois de pagar por ele, mas isso é desencorajado na comunidade WordPress, por razões óbvias.
Você deve estar se perguntando o que isso tem a ver com segurança. Os maus atores sabem que as pessoas querem usar plugins premium sem pagar por eles. Então, eles pegam o plugin, adicionam uma pitada de malware e o distribuem gratuitamente. Esses plugins “nulos” ou “piratas” contêm backdoors e outros códigos maliciosos. Quando um usuário desavisado do WordPress instala o plugin nulo, ele dá o controle de seu site a um invasor. Instalar plugins piratas em seu site é uma má ideia.
Cobrimos cinco mitos comuns de hospedagem do WordPress neste post, e há muitos mais que poderíamos ter incluído. Se você quiser ver uma postagem de acompanhamento que aprofunde mais mitos de hospedagem do WordPress, informe-nos nos comentários.