Quão seguro é o WordPress? Muitos principiantes podem preocupar-se com esta questão, especialmente quando ouvem dizer que o WordPress é um projeto de código aberto. Então, existem alguns dados que nos podem ajudar a perceber quão seguro é o WordPress?
A resposta é sim. Nesta publicação, reunimos o máximo de informação possível sobre o Segurança do WordPressVamos analisar a segurança do WordPress, desde o núcleo, temas e plugins, até às informações de início de sessão e serviços de alojamento. Vamos analisar tudo, desde a segurança do núcleo do WordPress, temas e plugins, até à segurança das informações de início de sessão e dos serviços de alojamento.
O nosso objetivo é dar-lhe uma imagem clara da segurança do WordPress, bem como apontar os possíveis riscos e a forma de se proteger contra eles.
De acordo com as estatísticas, o WordPress é o mais visado pelos hackers.
Quando falamos de segurança do WordPress, há um número importante a recordar: 43%. De acordo com a W3Techs, este é o número de sítios Web em todo o mundo construídos com o WordPress. Note-se que este número não se refere à quota de mercado do WordPress em relação a todos os sistemas de gestão de conteúdos (que é, de facto, superior), mas sim à sua quota em relação a todos os sítios Web em toda a Internet.
Trata-se de uma percentagem bastante elevada, o que mostra que o WordPress é muito popular. Embora isto seja uma boa notícia para os apoiantes do WordPress, também significa que é um alvo mais fácil para os piratas informáticos.
Devido ao grande número de sites WordPress, esta plataforma tornou-se o foco dos ataques de hackers. De facto, de acordo com um relatório de investigação sobre ameaças publicado pela Sucuri em 2022, os sítios Web WordPress representavam uns impressionantes 96,21 TP3T de todos os sítios Web infectados.
Não me parece muito seguro, pois não?
Quando se vê o WordPress a ser alvo de tantos ataques de pirataria informática, pode pensar-se que a plataforma tem, de facto, vulnerabilidades de segurança. Porque é que é um alvo tão importante para os piratas informáticos?
A razão é simples: a enorme popularidade do WordPress torna-o um alvo muito mais visível e atrativo para os piratas informáticos. É mais eficiente e fácil para os piratas informáticos atacar uma plataforma utilizada por centenas de milhões de sítios Web do que atacar uma plataforma com uma base de utilizadores mais pequena. Os piratas informáticos utilizaram este facto de forma sensata.
A má notícia é que existem, de facto, muitos sites WordPress que são atacados com sucesso por hackers todos os anos. Mas a boa notícia é que, como verá a seguir, esses ataques não são inevitáveis. De facto, muitos ataques bem sucedidos podem ser evitados. A chave é saber como se proteger.
Estatísticas de vulnerabilidade do núcleo do WordPress
Para determinar se o WordPress é seguro ou não, vejamos primeiro as estatísticas de segurança relativas ao software principal do WordPress.
A maioria dos sítios pirateados não foi actualizada
De acordo com o relatório da Sucuri, a maioria dos sites WordPress pirateados está a utilizar versões mais antigas. Até 2022, mais de metade dos sítios Web infectados com malware não foram actualizados para a versão mais recente do WordPress.
Não é de surpreender que algumas versões mais antigas de CMS apresentem muitas vulnerabilidades de segurança conhecidas. Por isso, se ainda estiver a utilizar uma destas versões para gerir o seu sítio Web, é um convite direto para que alguém o ataque.
De facto, a maioria dos problemas de segurança estavam concentrados na versão 4.0 e anteriores do WordPress. Desde então, houve uma queda significativa no número de vulnerabilidades de segurança.
A pesquisa da Sucuri também mostra esta tendência. O número de sites WordPress que são pirateados por não estarem actualizados está a diminuir em comparação com o passado.
De facto, de todos os sistemas de gestão de conteúdos inquiridos, o WordPress foi o que teve a menor percentagem de infecções devido à utilização de versões mais antigas.
Esta tendência já se verifica há dois anos, período durante o qual o WordPress registou uma ligeira diminuição das infecções por versões mais antigas. Esta é uma comparação com os dados de 2021.
Este é um problema do utilizador, não do WordPress!
Quão diligentes são os utilizadores do WordPress na atualização dos seus sites? A verdade é que muitos deles não estão a acompanhar. Aqui está a distribuição das versões do WordPress em execução em sites na natureza, conforme registado pelo WordPress.org.
Olhando para os dados, apenas cerca de 60% utilizadores instalaram a versão mais recente do WordPress. No entanto, a boa notícia é que a maioria dos utilizadores está a executar pelo menos a versão mais segura do WordPress 4.0 ou posterior, e três quartos actualizaram pelo menos para a última versão principal, o que é uma melhoria. Em 2016, por exemplo, apenas cerca de 50% utilizadores o fizeram.
Uma das razões para este progresso pode ser a funcionalidade de atualização automática introduzida na versão 5.6 do WordPress. Os utilizadores já não precisam de clicar manualmente no botão de atualização e os sítios Web podem instalar automaticamente novas versões do WordPress, o que contribuiu definitivamente para a dinâmica positiva das actualizações.
Infraestrutura de segurança do WordPress eficaz
Embora nem todos os utilizadores estejam a atualizar ativamente os seus sites, a equipa de segurança central do WordPress é capaz de responder eficazmente e corrigir prontamente os problemas de segurança encontrados em cada nova versão. Em 2023, o WordPress já lançou três actualizações centradas na segurança que abordam cerca de 20 a 30 potenciais vulnerabilidades de segurança, sendo que só a versão WordPress 6.0.3 corrige 16 problemas de segurança. E em 2022, o WordPress lançou quatro versões focadas na segurança, corrigindo um total de 26 vulnerabilidades.
Este enfoque na segurança não se limita ao software principal do WordPress, mas estende-se a todo o ecossistema. Por exemplo, quando o Elementor encontrou uma grande vulnerabilidade de segurança, esta foi rapidamente corrigida. Da mesma forma, o Ninja Forms resolveu um problema de segurança depois de receber uma atualização obrigatória do WordPress.org, e o BackupBuddy corrigiu rapidamente uma vulnerabilidade de segurança de alto risco e enviou uma atualização aos utilizadores.
Assim, embora o WordPress, como qualquer outro software, possa encontrar desafios de segurança, tem protecções para lidar com eles rapidamente. O maior desafio é garantir que os utilizadores aplicam estas actualizações e correcções de segurança de forma atempada.
Estatísticas de segurança de temas e plug-ins do WordPress
Sendo o sistema de gestão de conteúdos mais popular do mundo, o WordPress oferece um grande número de extensões, muitas das quais são gratuitas. Até à data, só o catálogo oficial do WordPress contém quase 60 000 plugins e mais de 11 000 temas.
Para além do catálogo oficial do WordPress, existem milhares de outros plugins disponíveis online, muitos deles com opções premium pagas. Isto faz do WordPress uma plataforma poderosa porque, independentemente da funcionalidade de que necessita, é provável que alguém já tenha desenvolvido uma solução.
No entanto, cada plugin ou tema adicional instalado num site pode abrir uma nova porta para os atacantes. Estas extensões são da responsabilidade de vários programadores e podem não ser controladas com o mesmo rigor que o software WordPress principal, o que as torna mais susceptíveis de esconder riscos de segurança. Além disso, por vezes, os programadores podem deixar de atualizar os seus produtos, tornando estes plugins e temas obsoletos.
É por isso que os plug-ins, em particular, são uma parte tão grande do problema de segurança do WordPress, e os dados do WPScan.com mostram que os plug-ins são a fonte da maioria das vulnerabilidades de segurança do WordPress.
O Patchstack obteve números semelhantes.
Aparentemente, os plug-ins gratuitos representam um risco maior para a segurança do WordPress. De acordo com a pesquisa da Sucuri, os temas e plug-ins pagos constituem apenas uma pequena parte (8.621 TP3T) de todas as vulnerabilidades de terceiros, enquanto a maioria (91.381 TP3T) vem de extensões gratuitas.
Outro problema comum são os sites que continuam a utilizar versões mais antigas de plugins ou temas que são conhecidos como riscos de segurança. Os dados da Sucuri mostram que 36% tinham pelo menos um plugin ou tema com vulnerabilidades conhecidas instalado na altura em que os sites infectados foram encontrados.
As extensões populares são a causa da maioria dos ataques de pirataria informática
Curiosamente, os plug-ins e temas problemáticos estão amplamente distribuídos. A Sucuri relata que alguns dos plug-ins mais vulneráveis incluem versões mais antigas do Contact Form 7 (responsável por 27.441 TP3T), Freemius Library (responsável por 20.851 TP3T) e WooCommerce (responsável por 14.511 TP3T). Existem ainda vários outros na lista.
Então, porque é que estamos a utilizar estes plugins com problemas de segurança? Na verdade, o problema não é a segurança destes plugins em si, mas o facto de serem muito populares. O Contact Form 7, por exemplo, tem mais de 5 milhões de instalações.
Além disso, as equipas de desenvolvimento destes plugins são normalmente rápidas a resolver os problemas de segurança assim que estes são identificados. O problema surge principalmente quando os utilizadores não actualizam os seus plugins em tempo útil. Entretanto, continua a ser feito algum trabalho para resolver estes riscos de segurança, como uma proposta para um verificador de plugins, que é semelhante à ideia de uma ferramenta de verificação de temas.
Por isso, o mais importante é manter o tema e os plugins actualizados, o que é tão importante como manter o resto do site WordPress.
Vulnerabilidade de login
As informações de início de sessão são outro fator-chave que torna um sítio Web vulnerável à pirataria informática. Se forem utilizados nomes de utilizador e palavras-passe simples, torna-se muito fácil decifrar estas credenciais através de ataques de força bruta ou de colisão.
Neste caso, por mais atualizado que esteja o seu sítio, ou por mais seguros que sejam os seus plugins e temas, uma vez que alguém tenha obtido acesso total ao seu sítio, não há limites para o que pode fazer.
Por exemplo, a Sucuri encontrou utilizadores maliciosos administradores do WordPress entre os sites infectados em 32.69%. Aqui estão alguns exemplos de nomes de utilizador e endereços de e-mail que utilizam frequentemente.
Por outro lado, esta secção é um dos locais onde o utilizador tem controlo direto. Por exemplo, o WordPress tem a capacidade de gerar automaticamente palavras-passe seguras, por isso, porque não utilizá-la?
No entanto, é necessário fazer o mesmo para outras contas no seu sítio Web, como a sua conta de alojamento e as credenciais FTP. Para além disso, existem outras formas de melhorar a segurança da sua página de início de sessão, como limitar o número de tentativas de início de sessão e ativar a autenticação dupla.
Estatísticas de segurança do alojamento
O ambiente de alojamento e a tecnologia utilizada também são importantes para a segurança do seu sítio Web, especialmente para a versão do PHP que executa o WordPress. Por exemplo, o PHP 7 introduz melhores caraterísticas de segurança em comparação com o anterior PHP 5.
Além disso, os programadores de PHP têm uma política rigorosa de interrupção de suporte para versões mais antigas. No momento em que este texto foi escrito, o suporte e as actualizações de segurança foram descontinuados para versões anteriores ao PHP 8.0, pelo que é melhor não utilizar estas versões mais antigas durante longos períodos de tempo.
Aqui, o WordPress não parece tão bom. Embora a grande maioria dos sites WordPress seja executada, pelo menos, em PHP 7.0, com quase metade deles a funcionar em 7.4, apenas um pouco mais de um quarto deles utiliza uma versão ativamente suportada.
Há mesmo cerca de 6% que ainda funcionam com a versão 5.x do PHP, que não tem qualquer suporte há anos. Por isso, se ainda não actualizou a sua versão do PHP, faça-o.
Estatísticas de Segurança do WordPress em poucas palavras
Nenhum CMS é 100 por cento seguro e, de facto, nada ligado à Web é completamente seguro. No entanto, apesar do que possa ter ouvido em outros lugares em contrário, o WordPress tem um registo de segurança bastante bom em geral. Sim, existem alguns problemas que precisam de ser resolvidos, mas a maioria deles está a ser tratada de forma agressiva.
Se pretende tornar o seu sítio Web mais seguro, eis algumas dicas a seguir:
- Actualize sempre o seu WordPress, plugins e temas para a versão mais recente.
- Utilize apenas extensões de fontes fiáveis.
- Utilize palavras-passe fortes para todas as contas do seu sítio Web.
- Considere a utilização de uma firewall ou CDN.
- Limitar o número de tentativas de início de sessão.
- Encripte o tráfego do sítio Web com certificados SSL, incluindo as páginas de administração do backend.
- Escolha um serviço de alojamento que mantenha as versões do PHP actualizadas.
Siga estas dicas e o seu sítio WordPress terá um historial positivo, pelo menos no que diz respeito à segurança.
