BlogNoticias

Inserido em: 08/04/2022

Plugins e temas do WordPress podem ter vulnerabilidades: Saiba como proteger seu site

wordpress

O próprio WordPress pode ser seguro, mas os plugins usados ​​para maximizar o potencial do seu blog podem levar a ataques cibernéticos. Aqui está o que você precisa saber.

Como de longe o sistema de gerenciamento de conteúdo mais popular, o WordPress alimenta milhões de sites diferentes. É um software de código aberto, o que significa que seu código-fonte é acessível ao público e pode ser modificado por praticamente qualquer pessoa com conhecimento suficiente.

Embora os plugins e temas do WordPress possam ser comprados, dezenas de milhares deles estão disponíveis gratuitamente. Como se poderia esperar, isso não vem sem suas desvantagens. Então, quão vulneráveis ​​são os sites WordPress? E quanto aos seus temas e plugins? E como você pode proteger seus sites?

Quão vulnerável é o WordPress?

Em fevereiro de 2022, o Jetpack descobriu que temas e plugins populares do fornecedor AccessPress Themes (também conhecidos como Access Keys) foram comprometidos. Os pesquisadores identificaram a vulnerabilidade por acidente, depois de descobrir um código suspeito em um site comprometido. Após uma investigação mais aprofundada, eles perceberam que a maioria dos plugins AccessPress e todos os temas continham o mesmo código.

Mais tarde, descobriu-se que o AccessPress Themes foi vítima de um ataque cibernético em setembro de 2021, com hackers injetando um backdoor nos plugins e temas do fornecedor.

AccessPress eventualmente atualizou e limpou seus produtos, mas presumivelmente milhares de usuários ficaram vulneráveis ​​a ataques por um longo período de tempo.

Os plugins e temas do WordPress têm vulnerabilidades?

As descobertas do Jetpack ressaltam o quão vulnerável o WordPress pode ser. Mas este não foi um caso isolado.

Em março de 2021, por exemplo, o Wordfence divulgou grandes vulnerabilidades em dois plugins do WordPress que, se explorados com sucesso, permitiriam que um invasor assumisse um site. As vulnerabilidades foram descobertas nos plugins Elementor e WP Super Cache. O Elementor é um construtor de sites usado em mais de sete milhões de sites, enquanto o WP Super Cache é um plugin de cache popular.

Em fevereiro de 2022, como o Search Engine Journal relatou, o banco de dados de vulnerabilidades do governo dos Estados Unidos e os pesquisadores de segurança do WordPress alertaram sobre sérias vulnerabilidades em dezenas de plugins.

Desses plugins, nove foram usados ​​em mais de 1,3 milhão de sites: Header Footer Code Manager, Ad Inserter—Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Security e Brute-Force Firewall, WP Content Copy Protection & No Right Click, Backup de banco de dados para WordPress, GiveWP, Download Manager e Advanced Database Cleaner.

Como proteger seu site WordPress

Alguém poderia supor que essas vulnerabilidades são sempre corrigidas ou removidas uma vez descobertas, mas esse não é o caso.

Uma pesquisa da Patchstack descobriu que 2021 viu um aumento de 150% nas vulnerabilidades relatadas do WordPress em comparação com 2020 – e 29% dessas vulnerabilidades não receberam patch. O Patchstack também descobriu que apenas 0,58% das falhas relatadas estavam no núcleo do WordPress, o que significa que as vulnerabilidades são quase sempre encontradas em plugins.

É fundamental garantir que todos os plugins que você usa estejam atualizados, assim como o próprio núcleo do WordPress.

Antes de baixar e instalar um plugin, certifique-se de fazer um pouco de pesquisa primeiro. Verifique quantas instalações o plug-in possui, leia comentários on-line, veja quando foi atualizado pela última vez e verifique se foi testado com o núcleo do WordPress mais recente. Isso levará apenas alguns minutos, mas pode evitar muitos problemas no futuro.

Alternativamente, você pode usar o WPScan , que é um scanner de vulnerabilidades bastante simples e eficiente. Esta ferramenta também pode ser utilizada para procurar um plugin pelo nome. A versão gratuita permite até 25 solicitações de API por dia.

Felizmente, alguns plugins são projetados para proteger seu site WordPress de intrusos. Login LockDown, Wordfence, BulletProof Security são alguns dos melhores plugins de segurança do WordPress hoje. O Login LockDown é totalmente gratuito, enquanto os outros dois possuem modelos básicos e gratuitos.

Dicas de segurança

Por mais vulnerável que o WordPress possa ser, tomar precauções básicas de segurança ajuda muito quando se trata de prevenir e combater ataques cibernéticos.

Usar detalhes de login exclusivos e autenticação de dois fatores, manter todo o software atualizado, ocultar nomes de temas e detalhes de login deve ser a base da higiene de segurança do WordPress.

Administração de Gestão de Plataformas WordPress

Uma boa administração da plataforma pode ser essencial para a Segurança da sua aplicação web, por isso, ter uma empresa especializada como parceira, pode ser vital para manter a integridade, confidencialidade e a disponibilidade do seu site ou aplicação web. A Across, empresa especializada em desenvolvimento WordPress, pode te ajudar neste desafio! entre em contato agora mesmo e solicite uma consultoria (https://across.ag).

 

 

 

Referências: Makeuseof

 

Voltar

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade | Empresa do Grupo Pierre Soluções