Como de longe o sistema de gerenciamento de conteúdo mais popular, o WordPress alimenta milhões de sites diferentes. É um software de código aberto, o que significa que seu código-fonte é acessível ao público e pode ser modificado por praticamente qualquer pessoa com conhecimento suficiente.

Embora os plugins e temas do WordPress possam ser comprados, dezenas de milhares deles estão disponíveis gratuitamente. Como se poderia esperar, isso não vem sem suas desvantagens. Então, quão vulneráveis ​​são os sites WordPress? E quanto aos seus temas e plugins? E como você pode proteger seus sites?

Quão vulnerável é o WordPress?

Em fevereiro de 2022, Mochila a jato descobriu que temas e plugins populares do fornecedor AccessPress Themes (também conhecidos como Access Keys) foram comprometidos. Os pesquisadores identificaram a vulnerabilidade por acidente, depois de descobrir um código suspeito em um site comprometido. Após uma investigação mais aprofundada, eles perceberam que a maioria dos plugins AccessPress e todos os temas continham o mesmo código.

instagram viewer

Mais tarde, descobriu-se que o AccessPress Themes foi vítima de um ataque cibernético em setembro de 2021, com hackers injetando um backdoor nos plugins do fornecedor e temas.

AccessPress eventualmente atualizou e limpou seus produtos, mas presumivelmente milhares de usuários ficaram vulneráveis ​​a ataques por um longo período de tempo.

Os plugins e temas do WordPress têm vulnerabilidades?

As descobertas do Jetpack ressaltam o quão vulnerável o WordPress pode ser. Mas este não foi um caso isolado.

Em março de 2021, por exemplo, Wordfence divulgou grandes vulnerabilidades em dois plugins do WordPress que, se explorados com sucesso, permitiriam que um invasor tomasse conta de um site. As vulnerabilidades foram descobertas nos plugins Elementor e WP Super Cache. O Elementor é um construtor de sites usado em mais de sete milhões de sites, enquanto o WP Super Cache é um plugin de cache popular.

Em fevereiro de 2022, como Jornal do mecanismo de pesquisa relatado, o Banco de Dados de Vulnerabilidades do Governo dos Estados Unidos e os pesquisadores de segurança do WordPress alertaram sobre sérias vulnerabilidades em dezenas de plugins do WordPress.

Desses plugins, nove foram usados ​​em mais de 1,3 milhão de sites: Header Footer Code Manager, Ad Inserter—Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Firewall de segurança e força bruta, WP Content Copy Protection & No Right Click, Database Backup for WordPress, GiveWP, Download Manager e Advanced Database Limpador.

Como proteger seu site WordPress

Alguém poderia supor que essas vulnerabilidades são sempre corrigidas ou removidas uma vez descobertas, mas esse não é o caso.

Pesquisa de Patchstack descobriu que 2021 viu um aumento de 150% nas vulnerabilidades relatadas do WordPress em comparação com 2020 – e 29% dessas vulnerabilidades não receberam nenhum patch. O Patchstack também descobriu que apenas 0,58% das falhas relatadas estavam no núcleo do WordPress, o que significa que as vulnerabilidades são quase sempre encontradas em plugins.

É fundamental garantir que todos os plugins que você usa estejam atualizados, assim como o próprio núcleo do WordPress.

Antes de baixar e instalar um plugin, certifique-se de fazer um pouco de pesquisa primeiro. Verifique quantas instalações o plug-in possui, leia comentários on-line, veja quando foi atualizado pela última vez e verifique se foi testado com o núcleo do WordPress mais recente. Isso levará apenas alguns minutos, mas pode evitar muitos problemas no futuro.

Alternativamente, você pode usar WPScan, que é um scanner de vulnerabilidades WordPress bastante simples e eficiente. Esta ferramenta também pode ser utilizada para procurar um plugin pelo nome. A versão gratuita permite até 25 solicitações de API por dia.

Felizmente, alguns plugins são projetados para proteger seu site WordPress de intrusos. Login LockDown, Wordfence, BulletProof Security são alguns dos melhores Plugins de segurança do WordPress hoje. O Login LockDown é totalmente gratuito, enquanto os outros dois possuem modelos básicos e gratuitos.

Dicas de segurança do WordPress

Por mais vulnerável que o WordPress possa ser, tomar precauções básicas de segurança ajuda muito quando se trata de prevenir e combater ataques cibernéticos.

Usar detalhes de login exclusivos e autenticação de dois fatores, manter todo o software atualizado, ocultar nomes de temas e detalhes de login deve ser a base da higiene de segurança do WordPress.

Como proteger seu site WordPress em 5 etapas simples

Leia a seguir

CompartilharTweetCompartilharE-mail

Tópicos relacionados

  • Segurança
  • Internet
  • Segurança on-line
  • Plugins Wordpress
  • Wordpress
  • Temas Wordpress

Sobre o autor

Damir Mujezinovic (23 artigos publicados)

Damir é um escritor e repórter freelance cujo trabalho se concentra em segurança cibernética. Fora da escrita, ele gosta de ler, música e cinema.

Mais de Damir Mujezinovic

Assine a nossa newsletter

Junte-se à nossa newsletter para dicas de tecnologia, análises, e-books gratuitos e ofertas exclusivas!

Clique aqui para assinar