Estatísticas destacam a maior fonte de vulnerabilidades do WordPress
Publicados: 2020-10-08Todos nós sabemos que muitos sites WordPress são invadidos a cada ano. É porque o WordPress é um sistema inseguro? É um problema global do WordPress ou vem das ações desses webmasters? Como e por que está acontecendo?
Esteja você executando um blog pessoal, um site comercial ou um site de comércio eletrônico no WordPress, a segurança do seu site deve ser uma prioridade. Pode haver muitos motivos pelos quais a segurança do seu site está comprometida. Os motivos mais comuns são senhas fracas, erros de usuários, software desatualizado e atualizações de segurança ausentes.
Neste artigo, usamos as estatísticas mais recentes do banco de dados de vulnerabilidades WPScan para destacar quais são os componentes mais vulneráveis do WordPress e enfatizar a importância de executar um software atualizado e instalar os patches de segurança necessários.
Você também pode encontrar algumas estatísticas e fatos interessantes sobre as vulnerabilidades do WordPress, bem como algumas recomendações. Vamos mergulhar direto.
Índice
- O que é o banco de dados de vulnerabilidades WPScan?
- Visão geral das vulnerabilidades do WordPress, plugins e temas
- Por que existem tantas vulnerabilidades centrais do WordPress?
- Tipo de vulnerabilidades no núcleo, plugins e temas do WordPress
- Estatísticas das principais vulnerabilidades do WordPress
- Top 10 plugins WordPress mais vulneráveis
- Os 10 temas WordPress mais vulneráveis
- O que essas vulnerabilidades do WordPress nos dizem?
- Como garantir a segurança do WordPress (melhores práticas de segurança)
O que é o banco de dados de vulnerabilidades WPScan?
Antes de mergulharmos nas estatísticas, vamos explicar de onde tiramos esses números. Todos os dados são recuperados do banco de dados de vulnerabilidades do WPScan, uma versão on-line navegável dos arquivos de dados do WPScan.
O WPScan é um scanner de segurança de caixa preta automatizado de código aberto do WordPress. Este scanner usa esses dados para detectar vulnerabilidades conhecidas do núcleo, plugins e temas do WordPress em sites do WordPress.
Até o momento, o banco de dados de vulnerabilidades do WPScan contém 21.755 vulnerabilidades, 4.154 das quais são vulnerabilidades exclusivas.
Visão geral das vulnerabilidades do WordPress, plugins e temas
De acordo com o Banco de Dados de Vulnerabilidades do WPScan, cerca de 80% das vulnerabilidades conhecidas que eles registraram estão no software principal do WordPress. Mas aqui está o kicker – as versões com mais vulnerabilidades estão no WordPress 3.X.
Até agora, existem 17.467 vulnerabilidades do software principal do WordPress no banco de dados de vulnerabilidades WPScan. Depois, há 3.846 (17%) vulnerabilidades de plugins do WordPress e 442 (3%) vulnerabilidades de temas do WordPress.
Por que existem tantas vulnerabilidades centrais do WordPress?
O número de vulnerabilidades no núcleo do WordPress é inflado no banco de dados de vulnerabilidades devido às muitas versões do WordPress. Abaixo está uma explicação de por que isso acontece;
Uma vulnerabilidade de script entre sites é encontrada em um componente do WordPress versão 5.4.2. Este componente é usado no WordPress desde a versão 3.7. Portanto, todas as versões anteriores do WordPress também são vulneráveis.
Portanto, no banco de dados de vulnerabilidades do WPScan, haverá uma vulnerabilidade única e 256 vulnerabilidades!
Portanto, o núcleo do WordPress como tal não é inseguro. É muito importante ressaltar que o núcleo do WordPress percorreu um longo caminho e é um software muito melhor e mais seguro do que nunca.
Tipo de vulnerabilidades no núcleo, plugins e temas do WordPress
Os tipos de vulnerabilidade mais populares no núcleo, plugins e temas do WordPress são Cross-site Scripting e SQL Injection.
Isso não é surpreendente, considerando que essas 2 vulnerabilidades foram listadas na lista OWASP Top 10 dos problemas de segurança da Web mais comuns desde o seu início.
Estatísticas das principais vulnerabilidades do WordPress
O gráfico abaixo destaca as 10 versões principais do WordPress mais vulneráveis, com as versões 3.7.1 e 3.8.1 liderando o pacote com 92 vulnerabilidades cada. Em segundo lugar, com 91 vulnerabilidades, está o WordPress versão 3.9.
No entanto, desde então o WordPress definitivamente se tornou mais seguro. Vamos dar uma olhada no número de vulnerabilidades nas últimas 5 versões do WordPress. Como você pode ver a diferença é bem grande.
Top 10 plugins WordPress mais vulneráveis
Aqui estão alguns fatos sobre os 10 plugins WordPress mais vulneráveis:
NextGEN Gallery, NinjaForms e WooCommerce lideram o pacote com 22 vulnerabilidades cada.
Ficamos surpresos ao ver o All In One WP Security & Firewall, um plugin de segurança do WordPress entre os 10 plugins WordPress mais vulneráveis. Não estou dizendo que esses plugins são à prova de balas. Embora eu espere que um plugin escrito por pessoas de segurança tenha menos vulnerabilidades, ou pelo menos não esteja na lista dos 10 principais.
Os 10 temas WordPress mais vulneráveis
O gráfico abaixo destaca os 10 temas WordPress mais vulneráveis. O mais alto tem apenas 5 vulnerabilidades em seu nome.
Os temas tendem a ter muito menos vulnerabilidades do que os plugins porque fazem muito menos em termos de funcionalidade. Por exemplo, enquanto a maioria dos plugins lida com dados, entrada do usuário e manipula dados do usuário, os temas alteram principalmente a aparência dos sites WordPress.
O que essas vulnerabilidades do WordPress nos dizem?
As pessoas adoram o WordPress por causa da enorme variedade de plugins e temas disponíveis. Até o momento, existem mais de 57.000 plugins e mais de 7.000 temas no repositório do WordPress e milhares de outros premium espalhados pela web.
Embora todas essas opções sejam ótimas para melhorar seu site, você deve sempre fazer uma pequena pesquisa antes de instalar um plugin ou tema em seu site WordPress. Embora a maioria dos desenvolvedores do WordPress faça um bom trabalho ao seguir os padrões de código e corrigir os problemas de segurança relatados assim que eles se tornarem conhecidos, ainda existem alguns problemas em potencial:
- O plugin ou tema não é mais mantido,
- Os desenvolvedores demoram muito para emitir um patch de segurança ou não respondem,
- Um plugin ou tema tem uma vulnerabilidade, no entanto, como não há muita atenção nele, essa vulnerabilidade passa despercebida.
Consulte como escolher o melhor plug-in do WordPress para seus requisitos para obter mais detalhes sobre esse assunto e como determinar se um plug-in é uma boa escolha para o seu site WordPress.
Então, qual é o ponto de partida?
Resumindo, mantenha todo o seu software atualizado!
O WordPress é um dos CMS mais populares do mundo e, se você seguir as práticas recomendadas de segurança e mantê-lo atualizado, é muito improvável que seu site tenha algum problema.
Essas estatísticas de vulnerabilidades do WordPress são precisas?
Essas estatísticas são baseadas nas informações armazenadas no banco de dados de vulnerabilidades do WPScan. Embora seja atualizado com frequência, não é de forma alguma completo.
Existem muitos outros plugins e temas WordPress vulneráveis que não estão listados aqui. No entanto, isso nos dá uma boa visão geral do estado das vulnerabilidades do WordPress.
Envie vulnerabilidades conhecidas do WordPress
A equipe do WPScan incentiva todos que conhecem as vulnerabilidades do núcleo, plugin ou tema do WordPress a enviar os detalhes para eles.
Antes de enviar uma nova vulnerabilidade, faça uma pesquisa no banco de dados para garantir que o problema não tenha sido enviado antes. Isso garantirá que tenhamos uma fonte de informação centralizada e confiável.
Como garantir a segurança do WordPress (melhores práticas de segurança)
Agora que cobrimos todas as vulnerabilidades potenciais e conhecidas, vamos dar uma olhada nas diferentes maneiras de proteger seu site.
A primeira coisa é atualizar regularmente sua versão do WordPress. Você definitivamente deve desenvolver a prática de atualizar sua versão do WordPress e também, não se esqueça de atualizar seus plugins e temas.
Aqui estão algumas ações adicionais que você pode fazer para proteger seu site WordPress:
- Evite usar senhas comuns
Quando você tem uma senha forte, qualquer tentativa de invasão pode ser evitada ou pelo menos atrasada.
- Configurar um login de autenticação de dois fatores
Qualquer pessoa que queira fazer login no seu site WordPress teria que passar por mais uma etapa antes de obter acesso à sua conta.
- Não use plugins e temas nulos
Ele tenta quase todo mundo, no entanto, essas cópias gratuitas de plugins e temas premium geralmente são carregadas com malware malicioso. Apoie os desenvolvedores dos plugins que você usa comprando a edição premium. Isso ajuda a desenvolver ainda mais o produto, adicionar novos recursos e mantê-lo seguro.
- Use plugins de segurança do WordPress
Hoje em dia existe uma enorme variedade de plugins de segurança que são criados para proteger seu site de vários ataques. Os melhores são atualizados regularmente, o que os torna capazes de detectar qualquer tentativa de hacking e qualquer adição ao seu código. Desenvolvemos vários plugins de segurança e gerenciamento de sites para WordPress. Confira-os!
Para encerrar
Proteger seu site é super essencial. Ter uma visão clara das ameaças e das ferramentas que você pode usar para lidar com os ataques em potencial é crucial. Sua primeira e principal prioridade deve ser ter e manter um site seguro.
Como resultado de sua popularidade, o WordPress é um grande alvo para hackers. É por isso que você deve se esforçar mais para garantir a segurança do seu site. Um site seguro certamente irá incorporar a confiança em seus clientes em potencial e, portanto, auxiliar no crescimento do seu negócio.
Mantenha seu site protegido e fique seguro!