Milhares de sites WordPress que podem usar um plug-in vulnerável: veja como manter seu site seguro
Publicados: 2024-05-06Em março de 2024, uma vulnerabilidade crítica foi descoberta no plugin WordPress WordPress Automatic. Disponível no mercado Code Canyon, WordPress Automatic é um raspador automático de conteúdo que recupera artigos, vídeos, produtos, imagens e outros tipos de conteúdo de fontes externas e republica esse conteúdo em seu site automaticamente.
A empresa de pesquisa Patchstack descobriu a vulnerabilidade, que possibilitou que atores mal-intencionados usassem ataques de injeção de SQL para assumir o controle total de sites vulneráveis. Todos os tipos de sites – desde lojas de vapor até blogs pessoais – ficaram vulneráveis ao ataque se usassem uma versão sem patch do plugin.
Embora o plug-in tenha sido corrigido imediatamente, alguns proprietários de sites não instalaram o patch porque não estavam cientes da gravidade do problema. Avaliações recentes de usuários do plugin WordPress Automatic sugerem que pelo menos alguns sites foram completamente perdidos devido à vulnerabilidade.
Nenhum site está completamente imune a hackers, e o WordPress – que alimenta cerca de 43% de todos os sites do mundo – é um alvo prioritário para atores mal-intencionados.
Mas aqui estão as boas notícias: quando um site é invadido, geralmente não é porque um hacker o atacou especificamente. Mais frequentemente, os sites são hackeados porque executam temas ou plug-ins vulneráveis do WordPress que foram descobertos através do uso de scanners automatizados.
Em outras palavras, se o seu site não tiver uma vulnerabilidade conhecida que seja facilmente encontrada com um scanner e explorada por meios automatizados, os hackers geralmente seguirão em frente.
Com isso em mente, você pode manter seu site WordPress bastante seguro simplesmente seguindo algumas práticas de segurança de bom senso. Neste guia, explicaremos exatamente o que você precisa fazer para minimizar o risco de um plugin inseguro causar o encerramento prematuro do seu site.
Atualize seu tema e plug-ins imediatamente
Ao fazer login no WordPress, você sempre verá uma notificação na barra lateral se houver atualizações disponíveis para o tema ou plug-ins do seu site. Em alguns casos, um plugin com atualização pendente até exibirá uma mensagem no topo da página. Se o seu site tiver um grande número de plug-ins, você poderá receber notificações de atualização quase sempre que fizer login e, às vezes, tenderá a procrastinar quando se trata de baixar e instalar essas atualizações. Você faz isso por sua conta e risco, porque nunca sabe quando uma atualização pode incluir uma correção para um problema crítico de segurança.
O plugin WordPress Automatic foi atualizado imediatamente quando seu criador foi notificado sobre a falha de segurança. No entanto, um acordo de não divulgação impediu o criador do plugin de discutir a falha até que ela fosse tornada pública pelo Patchstack. Por esse motivo, alguns usuários ignoraram a atualização.
Manter backups completos de sites e bancos de dados
Está se tornando mais comum que os hosts da Web ofereçam backups totalmente automáticos de sites e bancos de dados, o que é ótimo para a segurança. Se o seu site for hackeado, ter um backup disponível significa que você pode restaurar o site ao estado anterior – às vezes com um único clique. Se o seu host não oferece esse serviço, vários plug-ins do WordPress podem fazer o trabalho para você. É importante, porém, manter uma biblioteca de backups de vários momentos diferentes. Se o seu site for hackeado, pode demorar um pouco até você perceber.
Considere executar um plug-in de segurança
Se o seu site é da sua empresa, não há desculpa para não ter algum tipo de solução de segurança. Um plugin de segurança pode monitorar automaticamente as tentativas de acesso e bloquear usuários que pareçam mal-intencionados. Algumas redes de distribuição de conteúdo também oferecem esse serviço. Um plug-in de segurança também pode monitorar os arquivos e o código bruto do seu site e notificá-lo se algo mudar inesperadamente. Se novos arquivos começarem a aparecer repentinamente em seu servidor, seu site provavelmente foi hackeado.
Obtenha seus temas e plug-ins de uma fonte confiável
O Repositório WordPress é sempre o lugar mais confiável para encontrar temas e plugins para o seu site. Como tudo no site WordPress.org é gratuito e de código aberto, todos os plug-ins e temas são monitorados pela grande comunidade de voluntários do WordPress. Em muitos casos, porém, você pode precisar de funcionalidades que não estão disponíveis em um tema ou plug-in gratuito – e, nesse caso, você terá que pagar por um software premium. Certifique-se de que alguém auditou o código e o declarou seguro.
Remova temas e plug-ins não utilizados
Cada tema e cada plugin instalado no seu site WordPress devem ser tratados como uma falha de segurança em potencial, porque é exatamente isso que os hackers estão fazendo – eles estão constantemente examinando cada pedaço de código WordPress existente e procurando vulnerabilidades para explorar. Cada vez que você remove um tema ou plugin do seu site, você elimina um ponto de entrada potencial. Acesse os plug-ins e temas do seu site e remova tudo o que não estiver usando. Também é uma boa ideia examinar seus plug-ins ativos e ter certeza de que você realmente precisa de todos eles.
Encontre substitutos para plug-ins abandonados
Já faz algum tempo desde a última vez que você viu uma notificação de atualização para um plugin específico? Nesse caso, você pode verificar o log de alterações do plug-in para determinar quando ele foi atualizado pela última vez. A menos que a funcionalidade de um plugin seja extremamente simples, você deve considerá-lo abandonado pelo autor se não for atualizado há mais de um ano. Nesse caso, você deve procurar um plugin que forneça a mesma funcionalidade e ainda esteja atualizado ativamente. Falhas de segurança podem permanecer escondidas em plug-ins antigos por muito tempo antes de serem descobertas – e se um plug-in que apresenta uma falha não for mais atualizado pelo autor, a vulnerabilidade nunca será corrigida.
Contrate um desenvolvedor para auditar plug-ins e temas antigos
Suponha que seu site tenha um plugin de missão crítica que foi abandonado pelo desenvolvedor e não é mais atualizado. Nesse caso, você está sozinho quando se trata de garantir que o plugin seja seguro e não tenha vulnerabilidades. Nesse caso, contratar um desenvolvedor e fazer com que essa pessoa audite o plugin para você seria uma ideia muito boa. A manutenção do plugin pode se tornar uma despesa contínua até que você encontre um substituto para ele.