Estatísticas de segurança do WordPress: quão seguro é o WordPress realmente?
Publicados: 2023-11-01O WordPress é realmente seguro? Essa é provavelmente uma pergunta na mente de muitos novos usuários, especialmente quando ouvem que se trata de um projeto de código aberto. Então, há alguma estatística sobre a segurança do WordPress que possa fornecer uma resposta?
Na verdade, existem, e neste post tentamos compilar o máximo possível de números significativos sobre este tópico. Abaixo, examinaremos relatórios e estatísticas do setor sobre a segurança do núcleo do WordPress, temas e plug-ins, informações de login e ambientes de hospedagem.
No final, queremos que você não apenas tenha uma boa ideia sobre a situação de segurança do WordPress, mas também saiba exatamente onde estão os riscos para que possa resolvê-los.
Estatisticamente, WordPress é o alvo mais popular para hackers
O primeiro dado que importa quando se fala sobre segurança do WordPress é 43%. De acordo com a W3Techs, essa é a parcela mundial de sites rodando em WordPress. Observe que não é a sua participação no mercado de sistemas de gerenciamento de conteúdo (que é maior), mas no total de sites na Internet.
Esse é um número muito grande. E é importante porque, embora para os fãs do WordPress isso seja algo para se orgulhar, também tem uma desvantagem: a exposição.
O grande número de sites rodando em WordPress significa que a plataforma é o principal alvo de hackers. Na verdade, no relatório de pesquisa de ameaças de 2022 da Sucuri, os sites WordPress representaram 96,2% de todos os sites infectados.
Não parece realmente seguro, não é?
Quando você vê estatísticas como essa isoladamente, seu primeiro pensamento pode ser que o WordPress realmente tem um problema de segurança. Por que outro motivo isso seria responsável por uma grande maioria de hacks bem-sucedidos?
É por isso que começamos com o primeiro número. WordPress é simplesmente um alvo muito mais proeminente e lucrativo. Optar por um sistema que permite tentar atacar literalmente centenas de milhões de sites, em vez de um com uma base de usuários muito menor, é muito mais econômico e eficiente. Aparentemente, isso também é o que os hackers pensam.
A má notícia é que muitas vezes eles conseguem. Todos os anos, centenas de milhares de sites WordPress são hackeados com sucesso. A boa notícia é que, como você verá a seguir, isso não ocorre porque o WordPress seja inerentemente inseguro. Na verdade, muitos desses hacks bem-sucedidos são totalmente evitáveis. Você só precisa saber como se proteger.
Estatísticas de vulnerabilidade central do WordPress
Na busca de responder se o WordPress é seguro ou não, vamos começar com estatísticas sobre a segurança do software principal do WordPress.
A maioria dos sites invadidos não foi atualizada
De acordo com o relatório da Sucuri, a maioria dos sites WordPress hackeados estão desatualizados. Em 2022, mais da metade das pessoas infectadas com malware não usavam a versão mais recente do WordPress.
Isso não é uma surpresa. Algumas versões mais antigas do CMS apresentam problemas de segurança bem conhecidos que foram divulgados publicamente. Portanto, se você continuar administrando seu site em um deles, estará apenas convidando alguém para tirar vantagem disso.
Na verdade, as edições do WordPress com mais problemas de segurança vão até a versão 4.0. Desde então, o número de vulnerabilidades diminuiu constantemente.
O relatório da Sucuri também reflete isso. Em comparação com números anteriores, a parcela de sites WordPress hackeados por não serem atualizados diminuiu.
Na verdade, o WordPress teve a menor parcela de infecções devido a versões desatualizadas entre todos os CMS que encontraram.
Este tem sido o caso há dois anos consecutivos e a participação do WordPress caiu ligeiramente durante esse período. Aqui está 2021 para comparação.
Este é um problema do usuário, não um problema do WordPress
Então, como está o estado dos usuários do WordPress em manter seus sites atualizados? Bem, muitos não. Aqui estão as versões do WordPress executadas em sites existentes, conforme rastreado pelo WordPress.org.
Como você pode ver, apenas cerca de 60%% estão na versão mais recente. No entanto, a boa notícia é que pelo menos a grande maioria está no WordPress 4.0 ou superior, onde a situação de vulnerabilidade fica muito melhor. Além disso, três quartos foram atualizados para a versão principal mais recente, o que é uma melhoria em relação a antes. Em 2016, essa participação era de apenas cerca de 50%.
Uma das razões para isso são as prováveis atualizações automáticas que foram introduzidas na versão 5.6. Você não precisa mais depender dos usuários para clicar manualmente no botão Atualizar . Em vez disso, os sites podem instalar automaticamente novas versões do WordPress, o que aparentemente contribuiu para esta tendência positiva.
A infraestrutura de segurança do WordPress funciona
Apesar da relutância dos usuários em atualizar seus sites, o sistema de segurança do núcleo do WordPress faz seu trabalho muito bem. A equipe de segurança do WordPress encontra e corrige problemas rapidamente em cada nova versão do WordPress.
Em 2023, já tínhamos três versões de segurança que corrigiam de 20 a 30 vulnerabilidades potenciais. Somente o WordPress 6.0.3 continha 16 correções de segurança. Houve também quatro lançamentos de segurança no projeto em 2022, que abordaram 26 bugs de segurança no total.
Além disso, esta vigilância estende-se a outras partes do ecossistema. Elementor encontrou uma vulnerabilidade crítica que foi rapidamente corrigida, Ninja Forms recebeu uma atualização forçada do WordPress.org e BackupBuddy também corrigiu uma falha de segurança de alta gravidade e enviou a versão atualizada para seus usuários.
Portanto, embora o WordPress tenha problemas de segurança como qualquer outro software, ele possui dispositivos de segurança que respondem rapidamente a eles. Um dos maiores obstáculos que permanece é fazer com que os usuários apliquem as soluções.
Estatísticas sobre temas WordPress e segurança de plug-ins
Sendo o CMS mais popular, o WordPress vem com um grande número de extensões, muitas delas gratuitas. No momento em que este artigo foi escrito, havia quase 60.000 plug-ins somente no diretório do WordPress, bem como mais de 11.000 temas.
Isso sem contar os milhares de outros plugins que estão disponíveis em outras partes da web, muitas vezes como soluções premium. Isso é o legal do WordPress, seja o que for que você esteja procurando, provavelmente já existe uma solução para isso por aí.
Ao mesmo tempo, cada extensão instalada em seu site é um ponto de entrada potencial para um invasor. Temas e plugins são de responsabilidade de desenvolvedores individuais. Eles não são testados tão rigorosamente quanto o núcleo do WordPress e, portanto, são mais propensos a conter falhas de segurança. Além disso, às vezes os desenvolvedores simplesmente param de apoiar seu trabalho e ele fica desatualizado.
Portanto, não é surpresa que eles desempenhem um grande papel nas estatísticas de segurança do WordPress, especialmente plug-ins. Na verdade, de acordo com WPScan.com, eles contêm a grande maioria das vulnerabilidades do WordPress.
Patchstack chegou a números semelhantes.
Aparentemente, plug-ins especialmente gratuitos são um problema. A Sucuri relata que temas e plug-ins premium representam 8,62% de todas as vulnerabilidades de terceiros, enquanto extensões gratuitas representam 91,38%.
Também aqui um problema comum é que os proprietários de sites usam versões desatualizadas com problemas de segurança conhecidos. A Sucuri relata ainda que 36% de todos os sites comprometidos tinham pelo menos um plugin ou tema vulnerável presente durante a correção.
Extensões populares são responsáveis pela maioria dos hacks
A distribuição de quais plugins e temas causam problemas também é interessante. De acordo com a Sucuri, os componentes vulneráveis mais comumente detectados incluíam versões desatualizadas do Contact Form 7 (27,44%), Freemius Library (20,85%) e WooCommerce (14,51%). Existem alguns outros.
Então, por que ainda permitimos a existência desses plug-ins se eles estão fazendo um trabalho tão ruim em segurança? Aqui, o mesmo se aplica ao WordPress em geral. Não é necessariamente que esses plugins sejam mais inseguros, eles são simplesmente muito populares. Somente o Contact Form 7 tem mais de cinco milhões de instalações.
Além disso, esses desenvolvedores fazem um bom trabalho ao corrigir problemas de segurança assim que se tornam conhecidos. O problema só ocorre quando os usuários não os aplicam. Além disso, há esforços em andamento para resolver a deficiência de plug-ins. Houve uma proposta recente para um Plugin Checker semelhante ao plugin de verificação de tema que está em desenvolvimento.
Então, o que aprendemos com isso? Mantenha seus temas e plugins atualizados assim como o resto do seu site WordPress.
Vulnerabilidades de login
As credenciais de login são outro fator em sites que passam por um hack bem-sucedido. Nomes de usuário e senhas fracos representam um sério risco de segurança. Eles são facilmente comprometidos por meio de ataques de força bruta e preenchimento de credenciais.
Quando algo assim acontece, não importa o quão atualizado seu site esteja ou a segurança de seus plugins e temas. Depois que alguém tem acesso total ao seu site, há poucos limites para o que ele pode fazer.
Caso em questão, a Sucuri encontrou usuários administradores maliciosos do WordPress em 32,69% dos sites infectados. Apenas por diversão, aqui estão os nomes de usuário e e-mails que eles mais usaram.
Por outro lado, esta é uma das partes que está mais sob controle direto dos usuários. Por exemplo, o WordPress vem com um gerador automático de senhas seguras. Por que não aproveitar isso?
No entanto, você precisa fazer o mesmo para outras contas relacionadas ao seu site, como hospedagem e credenciais de FTP. Além disso, existem medidas adicionais para proteger sua página de login, como limitação de tentativas de login e autenticação de dois fatores.
Estatísticas de segurança de hospedagem
O ambiente de hospedagem e as tecnologias nele presentes também desempenham um papel na segurança, principalmente a versão PHP em que o WordPress está rodando. Por exemplo, o PHP 7 introduziu melhores recursos de segurança do que seu antecessor PHP 5.
Além disso, os desenvolvedores de PHP têm uma política de fim de vida bastante rígida para suas versões mais antigas. No momento em que este artigo foi escrito, qualquer coisa anterior à versão 8.0 não recebia mais suporte ou correções de segurança e, portanto, é melhor evitar a longo prazo.
Aqui, o WordPress não parece tão bom. Embora a grande maioria dos sites WordPress execute pelo menos PHP 7.0, com quase metade em 7.4, apenas um pouco mais de um quarto usa as versões com suporte ativo.
Existem até cerca de 6% que ainda rodam nas versões PHP 5.x, que não têm suporte há anos. Então, se ainda não o fez, atualize sua versão do PHP.
Estatísticas de segurança do WordPress resumidas
Nenhum CMS é 100% seguro; na verdade, nada conectado à web é. No entanto, apesar do que você possa ouvir em outros lugares, as estatísticas de segurança do WordPress são, em geral, muito boas. Sim, há problemas que precisam ser corrigidos, mas a maioria deles está sendo abordada ativamente.
Se quiser ajudar a melhorar ainda mais os números, você pode fazê-lo seguindo estas práticas recomendadas:
- Mantenha o WordPress e seus plugins e temas atualizados
- Use apenas extensões de fontes confiáveis
- Use senhas e credenciais fortes para tudo relacionado ao seu site
- Considere usar um Firewall e/ou CDN
- Limitar tentativas de login
- Use um certificado SSL para criptografar o tráfego em seu site, incluindo seu painel
- Escolha um host que permita manter sua versão do PHP atualizada
Se você seguir estas instruções, deverá ter estatísticas de segurança positivas, pelo menos para o seu próprio site WordPress.
Quais estatísticas sobre o estado da segurança do WordPress você considera mais interessantes? Deixe-nos saber nos comentários abaixo!