Mas afinal de contas, o WordPress é realmente seguro?

Vira e mexe vemos um post, um alerta, uma notícia sobre vulnerabilidade do WordPress. Afinal, podemos ou não confiar no CMS?

“Vulnerabilidade no WordPress afeta mais de 600 mil sites” “Falha em plugin do WordPress coloca em risco a segurança de mais de 20 mil sites”, se você é programador ou trabalha com agência de publicidade, muito provavelmente você já viu títulos de notícias como estas e, ficou muito preocupado e se questionando “Afinal de contas, o WordPress é seguro para o meu site e dos meus clientes?”. Vamos esclarecer de uma vez por todas essa dúvida tão importante no ambiente web.

O WordPress

O WordPress é um CMS – Content Management System, ou, em portugues, Sistema Gestor de Conteúdos – e serve básicamente para criar e editar os conteúdos do seu site, como portfólios, depoimentos, comentários e, inclusive posts como este. Estima-se que é utilizado em 43% de toda a web, é uma plataforma gratuita e de código aberto.

Opa! “código aberto”? É aqui o problema? Sim e não. Código aberto significa que, ao baixar uma instalação do WordPress você tem acesso à todos os códigos fonte do CMS, podendo editá-los como quiser, sem segredos e encriptação, instalar e criar novas aplicações conforme suas necessidades. Mas não significa que esse código é aberto à qualquer pessoa que acessar o seu site, os arquivos em sua maioria são em PHP – Hypertext Preprocessor, ou pre-processador de hypertextos – que só podem ser visualizados e editados pelo lado do servidor, editando e configurando o hypertexto do site para que ele seja exibido conforme programado. Nesse sentido, não há problema nenhum no código aberto do WordPress quando baixado originalmente.

O perigo mora justamente nas instalações e edições desse código, ao inserir plugins, construtores de sites entre outros, esses vão inserir novos arquivos e editar os arquivos da instalação original do WordPress, que, se não forem feitos com cautela, podem criar vulnerabilidades e portas de entradas para hackers.

Nos da Ojutu não condenamos o uso de plugins, eventualmente os usamos, mas, sempre que os usamos, estudamos todas as potenciais vulnerabilidades desse plugin e se, não for confiável, não utilizamos.

Estatísticas das vulnerabilidades

Versões desatualizadas do WordPress

Em uma pesquisa realizada pela empresa de segurança virtual Sucuri, 56% dos sites atacados pelos hackers estavam com as suas versões desatualizadas, recomendação contrária à do próprio WordPress que executa dezenas de verificações de segurança e está em constante atualização do sistema, portanto, esteja atento às atualizações do WordPress.

Spam

63% dos sites possuiam vulnerabilidades oriundas de spam, formulários de contato que não possuem bloqueadores de spam, tais como recapcha ou alguma validação de autenticidade são alvos fáceis, e, não representam falhas do WordPress, mas sim do usuário em clicar nesses links suspeitos.

Funções e códigos impróprios

Uma das funções do WordPress que causam muitos problemas é a update_option(). Se um plugin ou construtor de site utiliza dessa função ele pode alterar qualquer valor ou dado do seu site, tal como suas senhas e usuários. A função é altamente perigosa, por isso, é importante verificar os códigos fonte dos plugins e o que eles estão editando no seu site.

Plugins

Os plugins, produzidos por empresas terceiras ao WordPress estão sujeitos à ataques e são muito mais vulneráveis que o código fonte do CMS, portanto, esteja atento às atualizações dos plugins e os mantenha sempre atualizados. Em outra pesquisa, da Wordfence, ficou evidenciado que quase 70% das causas dos ataques aos sites foram causados pelo uso de plugins e não pelo CMS.

Senhas e credenciais comprometidas

Segundo a mesma pesquisa da Wordfence, apenas 16% dos sites comprometidos foram causados por violações de senhas, mas aqui não há culpa nenhuma do WordPress. Você é o único responsável por tomar conta das suas senhas, atualiza-las e torná-las seguras.

Então, ele é seguro?

E a nossa resposta é SIM, desde que você siga as melhores práticas

  • Manter o site e os plugins sempre atualizados
  • Escolha com cuidado os plugins que vai instalar em seu site
  • Mantenha senhas seguras, evite usar usuários obvios tais como “admin” ou o nome do site
  • Escolha servidores com opções de encriptação SSL e com versões atualizadas das plataformas

A Ojutu, é especialista em desenvolvimento web, todos os códigos do site são criados e editados exclusivamente para os clientes, não usamos plugins para os efeitos visuais do site, tais como carrosseis, sliders e outros efeitos que, podem ser encontrados em diversos plugins. Prezamos pela segurança e velocidade do seu site, por isso fazemos as soluções exclusivas para o seu site.