Por que os scanners de malware do WordPress são inúteis

Uma nova pesquisa da Snicco, WeWatchYourWebsite, GridPane com suporte da Automattic e PatchStack revela que os scanners de malware do WordPress que operam como plug-ins em um ambiente comprometido são fundamentalmente falhos. Os scanners de malware são, na melhor das hipóteses, ferramentas de limpeza para sites já comprometidos. Eles não são uma linha de defesa sólida e estão sendo ativamente derrotados por malware em estado selvagem agora . Deixe a detecção de malware para um host de qualidade. Concentre suas políticas de segurança na proteção da autenticação de login, gerenciamento de usuários, delegação adequada de privilégios e gerenciamento vigilante de versões.

Então, 2000 e mais tarde: os scanners de malware sobreviveram à sua utilidade

Os plug-ins de detecção de malware para WordPress datam de cerca de 2011, quando os ataques de injeção de SQL eram comuns e eficazes. Qualquer pessoa que trabalhasse com o WordPress naquela época se lembraria de uma biblioteca de edição de imagem amplamente usada chamada TimThumb. Ele foi submetido a explorações de dia zero com resultados horríveis para milhões de sites.

Este foi o contexto de emergência em que os plug-ins de segurança do WordPress surgiram - como uma reação. Alguns plugins de segurança hoje ainda se parecem com o Norton Security e o McAfee Anti-Virus. Esses eram aplicativos de segurança populares para Windows 20-30 anos atrás. Mas, como John McAfee disse depois de deixar a empresa que criou, seu scanner antivírus foi transformado em “bloatware”. Em sua opinião, era “o pior software do mundo”.

Conclusões semelhantes podem ser tiradas hoje sobre os scanners de malware do WordPress com base nas descobertas recentes de vários pesquisadores de segurança do WordPress.

Uma ilusão de segurança: os scanners de malware do WordPress são testados

Na primeira parte de uma série chamada “Malware Madness: Por que tudo o que você sabe sobre o seu WordPress Malware Scanner está errado”, o pesquisador de segurança do WordPress Calvin Alkan (fundador da empresa de segurança Snicco) compartilha um pouco de seu trabalho. Alkan trabalhou com Patrick Gallagher (CEO e cofundador da GridPane) e Thomas Raef (proprietário, WeWatchYourWebsite.com) para ver se os scanners de malware poderiam ser derrotados. Sem surpresa, eles podem ser derrotados - com muita facilidade. Patchstack forneceu confirmação independente dos resultados de Alkan.

Scanners locais: a chamada vem de dentro de casa

Em seus testes, Alkan e seus colaboradores analisaram primeiro os scanners locais. Wordfence, WPMU Defender, a versão gratuita do All-In-One Security (AIOS) e NinjaScanner fazem todo o seu trabalho no mesmo servidor do site WordPress em que estão instalados. Isso significa que os scanners de malware usam o mesmo processo PHP do WordPress e do malware que o infecta. Não há nada que impeça o malware de interagir ativamente com o scanner. O malware pode desabilitar qualquer plug-in de segurança que detectar, colocar-se na lista de permissões (relatado em 2018) ou manipular scanners para que não detectem a invasão.

Em seguida, Alkan e seus parceiros produziram provas de conceito funcionais para derrotar os scanners de malware. (Eles também se ofereceram para compartilhar seus kits de exploração em particular com pesquisadores e fornecedores de segurança.) De acordo com o CEO da Patchstack, Oliver Sild, os kits de exploração consistem em apenas algumas linhas de código.

Alkan também descobriu que o malware “renderizado”, “que se constrói dinamicamente usando PHP”, é indetectável por scanners de malware locais. Finalmente, os scanners locais falharam em detectar malware “em processo”. Esse tipo de malware “é executado uma vez e depois se exclui do sistema, sem deixar vestígios de sua presença”.

Scanners remotos: derrotados por adulteração de evidências e limpeza da cena do crime

Os scanners que executam suas análises em um servidor remoto incluem Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri e JetPack Scan. Esses novos métodos de verificação remota têm várias vantagens, incluindo uma pegada reduzida e impacto no desempenho do servidor local. Os scanners locais usam os recursos do servidor do seu site para fazer seu trabalho, o que tem um custo de desempenho. A análise remota de malware também é protegida contra manipulação, pois não ocorre no mesmo processo PHP de uma infecção ativa de malware.

Os scanners remotos são vulneráveis ​​a malware que manipula os dados enviados de volta ao servidor remoto para análise. A Alkan criou outra prova de conceito que demonstra que os scanners remotos podem ser derrotados dessa maneira - ocultando a “evidência” de uma infecção por malware. Oliver Sild também confirmou este resultado:

“A adulteração de dados pode ser alcançada conceitualmente com o plug-in local sendo um alvo de fraude. Recebemos uma prova de conceito que demonstra isso claramente.”

Uma tática de malware ligeiramente diferente pode envolver “limpar a cena do crime” e não deixar vestígios de infecção a serem verificados. Alkan sugeriu que isso é possível, mas não forneceu uma prova de conceito.

É importante observar que a verificação da integridade do arquivo que procura alterações não autorizadas pode ser útil quando você está tentando detectar uma infecção por malware. Esse tipo de verificação compara os arquivos locais com um repositório de código remoto protegido para detectar alterações não oficiais no núcleo do WordPress ou nos arquivos de plugin e tema. Infelizmente, a detecção de alterações pode ser anulada se o processo for adulterado por malware.

Não é apenas uma hipótese: o malware já está desativando os scanners de segurança do WordPress à solta

Após os kits de exploração de Alkan, a maior revelação no relatório de Snicco vem de Thomas Raef, CEO da We Watch Your Website, que detecta e limpa sites WordPress invadidos:

“Nos últimos 60 dias, 52.848 sites foram hackeados com o WordFence instalado antes da infecção. O malware instalado adulterou os arquivos do WordFence em 14% dos casos (7.399) . Outros serviços populares tiveram percentuais ainda maiores; MalCare chegando a 22% e VirusDie a 24%.”

Para um relato detalhado da análise do We Watch Your Website, consulte o relatório de Thomas Raef, “How We Identified Nearly 150K Hacked WordPress Sites in 60 Days”.

Esse é o fim do jogo para plug-ins de verificação de malware. Ele nos diz que a verificação de malware do WordPress é puro teatro de segurança – “a prática de tomar medidas de segurança que são consideradas para fornecer a sensação de segurança aprimorada, fazendo pouco ou nada para alcançá-la”.

Sem dúvida, isso também vem acontecendo há muito tempo.

A veterana da indústria de segurança e diretora de marketing da Kadence, Kathy Zant, disse à Alkan:

“Ao longo de cerca de 18 meses, eu estava limpando sites WordPress para uma empresa bem conhecida no WordPress, removendo malware de mais de 2.000 sites durante meu mandato. O período mais antigo que vi [malware derrotando varreduras de malware] foi em meados de 2017. [….] Tenho certeza de que ainda existe. E pode muito bem haver variantes adicionais que executam ações semelhantes ou até piores.”

Essa é a má notícia: os scanners de malware não são confiáveis. A boa notícia é que eles nunca ofereceram uma defesa real. Se tudo o que você perdeu foi uma ilusão de segurança, isso é, na verdade, um passo para ganhar segurança real.

Como proteger seu site WordPress - corretamente

Seguindo um relatório como o da Snicco, a grande questão é: “Como os sites WordPress podem obter uma alta confiança em sua segurança?”

Alkan acredita que os métodos de segurança devem ser adaptados para cada pilha de servidor, e a verificação de malware do lado do servidor realizada pelo host é o único tipo de verificação que vale a pena para os proprietários de sites.

“Os plug-ins de segurança do WordPress devem APENAS fazer coisas que podem ser feitas melhor na camada de aplicativo/PHP”, enfatiza.

Forte segurança de login do usuário, como autenticação de dois fatores e chaves de acesso, juntamente com a segurança da sessão, são áreas que Alkan diz que os plug-ins do WordPress podem ajudar - plug-ins como o iThemes Security. Essa sempre foi a filosofia orientadora de nossa equipe de desenvolvimento — um plug-in de segurança é mais adequado para proteger sites e diminuir a superfície de ataque.

Outras formas essenciais de fortalecer as defesas do seu site WordPress incluem o gerenciamento cuidadoso do usuário, seguindo o princípio do menor privilégio: nunca dê mais poder a um usuário do que o necessário. E para usuários mais privilegiados, eles exigem um padrão mais alto de segurança – 2FA, senhas, dispositivos confiáveis ​​e senhas fortes que nunca apareceram em uma violação conhecida.

Atualmente, as tendências de ataque visam de forma inteligente empresas de pequeno a médio porte com preenchimento de senhas, phishing e spearphishing. Esses vetores de ataque exploram autenticação de login fraca e erro humano. Eles usam força bruta e táticas inteligentes de engenharia social para comprometer contas de usuários individuais. Armado com uma conta de usuário hackeada, um invasor pode causar muitos danos. Eles podem causar ainda mais danos se também virem um plugin vulnerável para explorar. Uma vez dentro do seu sistema, um invasor pode criar backdoors para entrar novamente a qualquer momento.

Um plug-in de segurança que enfatiza um scanner de malware não vai detê-los.

O melhor plugin de segurança do WordPress para proteger e proteger o WordPress

Atualmente, o WordPress é responsável por mais de 40% de todos os sites, tornando-se um alvo grande e familiar para os cibercriminosos. O plug-in iThemes Security Pro elimina as suposições sobre a segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que constantemente monitora e protege seu site WordPress para você.

Obtenha o iThemes Security Pro

Dan Knauss

Dan Knauss é generalista de conteúdo técnico da StellarWP. Ele é escritor, professor e freelancer trabalhando com código aberto desde o final dos anos 1990 e com WordPress desde 2004.