O WordPress é seguro?

Recentemente recebi uma ligação de um cliente. Ele tinha algumas perguntas sobre se o WordPress é seguro.

Acontece que ele lançaria um novo site em breve e estava procurando por um CMS robusto. O WordPress foi a escolha óbvia, mas ele tinha graves preocupações com segurança, já que a empresa tem muita visibilidade e o site pode se tornar alvo de ataques.

É interessante quando um cliente faz uma pergunta como essa, porque faz com que você reavalie suas opiniões e suposições.

Tivemos uma ótima conversa, e acho que seria muito útil apresentar minha opinião sobre se o WordPress é seguro ou não em um formato de FAQ sobre o assunto.

O WordPress é seguro?

A resposta curta é sim, mas exige uma quantidade modesta de trabalho e aprendizagem por parte do proprietário do site.

Mantendo o Core atualizado

Para o WordPress ser seguro, você deve manter o aplicativo principal atualizado.

A boa notícia é que o WordPress realmente faz muito desse trabalho automaticamente. Se você tiver a configuração padrão, quando a equipe de desenvolvedores do WordPress liberar uma versão secundária do WP, ela será atualizada automaticamente para essa nova versão secundária. Correções de segurança são liberadas como versões secundárias.

Portanto, quando uma correção de segurança for lançada (a menos que você tenha configurado especificamente seu site para não atualizar automaticamente), seu site será atualizado para a correção de segurança mais recente e você estará protegido contra uma vulnerabilidade emergente.

Para ser claro, as versões do WordPress vêm com três números separados por pontos. A versão atual (abril de 2018) é 4.9.4. O número à extrema direita é a versão secundária. Então, quando isso mudar, seu site será atualizado automaticamente. Quando o 4.9.5 for lançado, seu site será atualizado automaticamente. Quando 5.0.0 for lançado, não será atualizado.

Mantendo plugins e temas atualizados

Você também precisará manter seus plugins atualizados. Isso não acontece automaticamente, exceto em casos raros em que o autor do plugin fornece essa funcionalidade.

A maioria dos plugins não são atualizados automaticamente. Mas, nos casos em que há uma vulnerabilidade de plugin grave, a equipe de segurança do WordPress pode forçar as atualizações de segurança do plugin, e isso já foi feito no passado.

Eles nunca atualizaram automaticamente um tema, mas também têm a capacidade de fazer isso.

Em geral, porém, pequenas vulnerabilidades que um autor de plugin corrige não são atualizadas automaticamente em seu site. É por isso que manter seus plugins atualizados é uma das coisas mais importantes que você precisa fazer para manter seu site ou blog WP seguro.

Protegendo-se durante a janela de vulnerabilidade com um firewall

Quando uma vulnerabilidade ocorre em um plugin ou tema, há um tempo de atraso entre a descoberta de vulnerabilidade e quando uma correção é liberada.

A isso se denomina “janela de vulnerabilidade”. Para se proteger durante esse período, você precisa de um firewall que esteja ativo por uma equipe de segurança e que inclua atualizações em tempo real.

janela de vulnerabilidade wordpress

Reduzindo a superfície de ataque

Você também precisará trabalhar para reduzir o número de itens que podem ser atacados no seu site.

Pense no seu site como um alvo de dardos gigante e um hacker está tentando lançar dardos que simplesmente precisam acertar o tabuleiro.

Quanto mais plugins você executar em seu WordPress, quanto mais temas estiverem instalados e, quanto mais aplicativos da Web forem executados, maior será a área de superfície que o invasor poderá atingir.

Reduza sua superfície de ataque removendo aplicativos não utilizados ou desnecessários, e você se tornará um alvo muito menor e seu site terá muito menos trabalho. Você também deve remover todas as contas não utilizadas, especialmente contas de administrador, no seu site WordPress.

Boas práticas de segurança

Finalmente, você e os usuários do seu site precisarão praticar boas ações de segurança.

Isso significa que você deve:

  • Use senhas fortes que não sejam facilmente adivinhadas. Recomendamos usar um gerenciador de senhas como o 1Password;
  • Ative a autenticação de dois fatores;
  • Verifique se você tem backups confiáveis do seu site.

Os princípios básicos não são realmente muito trabalhosos

Se você tiver esses ingredientes básicos para a segurança, estará começando bem para garantir uma excelente postura de segurança básica.

Para resumir, os itens que mencionei até agora são:

  1. Mantenha o núcleo do WordPress atualizado. Isso acontece automaticamente na maioria das vezes;
  2. Mantenha seus plugins, temas e outros aplicativos da web atualizados;
  3. Use um firewall atualizado em tempo real;
  4. Reduza sua superfície de ataque removendo plugins, temas, aplicativos da Web e contas de usuários desnecessárias;
  5. Utilize boas práticas de segurança usando senhas fortes, permitindo a autenticação de dois fatores e garantindo que seus backups sejam confiáveis.

Isso pode parecer muito, mas na verdade não é.

Depois de configurar o seu site WordPress com um firewall, ativar a autenticação de dois fatores, remover todos os aplicativos e plugins desnecessários e configurar senhas fortes, a única coisa que você precisa fazer regularmente é atualizar os plugins do site quando necessário e, ocasionalmente, verificar seus backups.

Além disso, sugiro acompanhar as tendências de segurança do WordPress e todas as “importantes” notícias de segurança.

Nosso blog cobre consistentemente notícias e ameaças importantes no espaço de segurança do WordPress. Portanto, assine nossa lista de e-mails e pronto.

Alguém sugeriu um site estático. Isso não é à prova de hackers?

Uma abordagem alternativa que alguns estão adotando é criar um site que seja completamente HTML e CSS estático, sem nenhum PHP ou outros componentes de aplicativo.

A ideia é: essa solução não tem um aplicativo que um atacante possa explorar, e o site pode ser configurado para que ele não tenha a capacidade de executar o PHP, para que os hackers não possam executar o código.

Sim, em teoria, este site é muito mais seguro do que um aplicativo PHP como o WordPress.

O problema é que, além de apresentar imagens e texto, ele não conseguirá fazer nada. Sem comentários, formulários, gerenciamento de conteúdo, comércio eletrônico ou qualquer outra funcionalidade. Isso torna essa opção inviável para a maioria dos proprietários de sites ou blogs.

Também é importante ressaltar que o próprio servidor da Web é um aplicativo, e tem havido muitas vulnerabilidades em servidores da Web (como o Apache e o Nginx). Portanto, a eliminação do servidor de aplicativos não torna um site imune à exploração.

O WordPress é seguro? Isso depende de você.

O WordPress pode ser uma plataforma muito segura, altamente funcional e bem suportada que pode servir você ou sua organização e escalar por décadas.

Mas isso exige que você siga as etapas básicas de segurança descritas acima e fique por dentro dos desenvolvimentos de segurança mais recentes.

Se você administra um site ou blog WordPress ou está apenas começando a embarcar em sua jornada com o WordPress, saiba que existe uma comunidade enorme atrás de você, para ajudá-lo a proteger seu site a longo prazo.

Como sempre, incentivo você a compartilhar suas perspectivas de segurança do WordPress nos comentários abaixo.

Talvez você goste de

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *