No entanto, a equipe por trás do WordPress também tem alguma responsabilidade em tudo isso. Afinal, não há nada que você possa fazer para proteger o núcleo do WordPress sozinho.
Se a questão da segurança do WordPress estiver incomodando você tanto quanto qualquer pessoa que esteja tentando fazer negócios online, continue lendo o seguinte.
Vou falar sobre parte da história sobre problemas de segurança do WordPress e o que o projeto WordPress está fazendo sobre isso.
Uma breve história dos problemas de segurança do WordPress
O problema não é necessariamente que o WordPress seja um sistema de gerenciamento de conteúdo fraco, sujeito a tentativas de hackers e falhas de segurança. É mais provável que seja um problema de visibilidade. WordPress é o CMS mais popular do mundo, então é claro que será um alvo fácil para hackers.
O WordPress é comumente criticado online (em blogs, fóruns, podcasts, etc..). Portanto, os pontos fracos da plataforma são bem conhecidos. Faria sentido, então, que os hackers visassem principalmente sites WordPress, não faria?
A segurança é um ponto de discussão importante para todos blog WordPress ou desenvolvimento web. De acordo com o projeto WordPress (a equipe responsável por gerenciar a segurança da plataforma), eles lançam patches de segurança o tempo todo. Sabe aquelas notificações de atualização automática que você recebe quando faz login no painel? "WordPress foi atualizado para 4.7.2" ou algo assim? Bem, geralmente quando você vê esses lançamentos menores, é porque a equipe teve que corrigir um problema de segurança.
E isso geralmente acontece:
La violação dos dados dos Documentos do Panamá para do 2016 foi, em parte, atribuído a uma vulnerabilidade em um plug-in Revolution Slider WordPress.
Dito isso, é reconfortante ver como o WordPress lidou com uma violação de segurança muito recente e de alto perfil originada da API REST.
Aqui está como as coisas foram:
- Em janeiro de 2017, o WordPress lançou a atualização 4.7.2. Em nenhum lugar da lista de atualizações ou correções o patch de segurança foi mencionado.
- Cerca de uma semana depois, o WordPress informou aos usuários que havia de fato uma falha de segurança detectada e corrigida nesta atualização.
- O motivo que deram para a demora na notificação dos usuários? Porque eles queriam dar-lhes tempo para atualizar o kernel antes que os hackers soubessem que o WordPress soubesse sobre ele e corrigisse o problema.
Claro, isso não impediu que os hackers desfigurassem 1,5 milhão de sites WordPress nesse ínterim. Existem também os usuários do WordPress que nunca atualizaram o CMS (ou o fizeram tarde demais) que permaneceram vulneráveis ao ataque.
Portanto, embora um patch tenha sido lançado pelo WordPress e eles tenham lidado com o anúncio com o tato necessário, mais de um milhão de sites foram prejudicados no processo. E, pior, muitos proprietários de sites continuaram a ignorar essa degradação mesmo depois de ela ter acontecido.
Patches de segurança parecem sair com mais frequência, com a maior taxa de abusos em 2015. À medida que isso ocorre cada vez mais, é importante saber quem é o responsável por proteger o WordPress e o que você pode fazer do seu lado, para ter certeza de que está protegido.
O que você precisa saber sobre o projeto WordPress (e sua segurança)
Aqui está o que você precisa saber sobre o projeto WordPress e o que eles estão fazendo para manter a segurança do kernel .
A equipe de segurança do WordPress
Primeiro, vamos falar sobre o projeto WordPress. Esta equipa de segurança é composta por cerca de 25 pessoas, todas especialistas no desenvolvimento ou segurança de WordPress. Atualmente, metade das pessoas no projeto WordPress trabalha para a Automattic.
Essa equipe de especialistas é responsável por identificar os riscos de segurança no kernel. Eles também são responsáveis por examinar possíveis problemas com temas ou plug-ins enviados por terceiros e fazer recomendações sobre como podem fortalecer suas ferramentas ou corrigir violações conhecidas.
Embora normalmente trabalhem sozinhos para identificar e resolver estes problemas, ocasionalmente consultam outros especialistas na área, particularmente os de empresas de segurança ealojamento.
Como o WordPress identifica riscos de segurança
Como você pode esperar, a equipe do projeto WordPress está funcionando como uma máquina bem oleada. Veja como funciona o processo de identificação e resolução de riscos de segurança:
- Um problema é identificado por alguém da equipe de segurança ou de fora da equipe. Membros que não são membros do projeto podem comunicar esses problemas detectados, enviando um e-mail para [email protegido].
- Um relatório é registrado e a equipe de segurança confirma o recebimento.
- Os membros da equipe então trabalham juntos em um servidor privado para verificar se a ameaça é válida.
- É aqui que eles rastreiam, testam e reparam as vulnerabilidades de segurança detectadas.
- O patch de segurança é adicionado à próxima versão do WordPress Menor.
- Para reparos menos sérios, o WordPress simplesmente notifica os usuários do painel do WordPress quando ocorre uma postagem automática.
- Para assuntos mais urgentes, a postagem sairá imediatamente e o WordPress.org irá anunciá-la na página de Notícias do site.
Claro, como vimos com 4.7.2., O WordPress nem sempre anuncia essas correções de segurança (por motivos válidos), embora sempre tome medidas imediatas para resolvê-los.
Nota sobre atualizações automáticas
Desde a versão 3.7, o WordPress tem a capacidade de enviar automaticamente pequenas atualizações para todos os sites. Isso garante que a equipe de segurança do WordPress possa obter correções urgentes em tempo hábil e não tenha que esperar que os usuários concordem e atualizem cada um de seus sites.
No entanto, é possível para os usuários do WordPress desativar essas atualizações automáticas. Se este for o seu caso, esteja ciente de que isso pode colocar seu site em risco, especialmente se você não tiver tempo para monitorar diligentemente todos os seus sites em busca das melhores e mais recentes atualizações.
Segurança de plugins e temas
Assim como é sua responsabilidade fornecer aos visitantes uma melhor experiência na web, os desenvolvedores de plugins e Temas do WordPress são responsáveis pela segurança de seus usuários (ou seja, você). Embora o WordPress não possa lidar com as dezenas de milhares de plugins e temas, eles podem pelo menos ficar de olho neles para garantir que nada sério possa escapar das rachaduras.
O projeto WordPress é a equipe responsável por trabalhar com os desenvolvedores quando um problema de segurança é detectado. Antes disso, porém, há uma equipe de voluntários designada para revisar cada tema ou plugin enviado para o WordPress. Essa equipe trabalhará com os desenvolvedores para garantir que as práticas recomendadas sejam seguidas.
No entanto, vulnerabilidades de segurança ainda podem surgir e é quando a equipe de segurança do WordPress deve intervir para:
- Forneça documentação para desenvolvedores do WordPress sobre o desenvolvimento de plugins e temas, bem como as melhores práticas de segurança.
- Monitore plug-ins e temas para possíveis falhas de segurança. Qualquer problema detectado será então levado ao conhecimento do desenvolvedor.
- Remova plugins ou temas prejudiciais do diretório se os desenvolvedores não responderem ou cooperarem.
O WordPress então notificará seus usuários por meio do administrador do WordPress quando essas correções de segurança (ou a remoção de plug-ins e temas ruins) estiverem disponíveis.
A segurança do WordPress requer sua vigilância
Depois de passar por tudo isso, fico um pouco mais confortável sabendo que existe uma equipe dedicada trabalhando para manter o núcleo do WordPress seguro o tempo todo. No entanto, isso não significa que eu (ou você) devamos ser embalados por esse sentimento de complacência.
Como vimos, mesmo em janeiro passado, com 1,5 milhão de sites danificados, por melhor que seja o projeto WordPress para monitorar e proteger a plataforma, os hackers encontrarão uma solução.
É por isso que é importante fazer a sua parte em tudo isso e manter seus sites protegidos de todos os ângulos.
