Se você tem o site de sua loja virtual em WordPress, sabe que essa aplicação web, como qualquer outra, pode apresentar vulnerabilidades de segurança. É claro que nada é 100% seguro na internet e nenhum site está totalmente imune de ser invadido ou apresentar falhas de segurança. Existe uma preocupação constante em amenizar as vulnerabilidades do WordPress para garantir que a experiência do usuário seja cada vez melhor. Se você ficou curioso para saber quais são as vulnerabilidades do WordPress, leia esse artigo até o final e deixe seu site mais seguro.
Vulnerabilidades de segurança no WordPress
Não existem dúvidas de que o WordPress é um dos softwares mais seguros que existem para o desenvolvimento de qualquer tipo de projeto, seja site, blog ou e-commerce. Mas isso não significa que ele não apresente falhas de segurança, geralmente humanas, que podem deixá-lo vulnerável a ataques externos de hackers. Mas quais são as falhas mais comuns?
- não executar a versão mais recente do WrodPress
- não executar a atualização de temas ou plugins
- instalar plugins ou temas que sejam inseguros ou perigosos
- não trocar o nome de usuário e usar sempre admin
- manter os plugins ou temas não utilizados
- usar senhas fracas que podem ser facilmente descobertas
- deixar o site sem a autenticação de segurança SSL
Essas são algumas das falhas de segurança deixadas pelos administradores de um site. Por isso, é extremamente importante cuidar desses detalhes dentro do WordPress para não se ter dores de cabeça posteriormente. Lembre-se de que uma senha forte já garante que seu site não sofra facilmente ataques maliciosos e pode fazer toda a diferença. Leia nosso post sobre proteger site de invasão
Se uma vulnerabilidade é descoberta no WordPress e uma nova versão do software é lançada para resolver o problema, as informações necessárias para explorar a falha já serão de conhecimento alheio, certo? Isso faz com que as versões mais antigas do WrodPress sejam mais propensas a sofres ataques dos conhecidos hackers. Por isso, a necessidade que você mantenha seu WordPress sempre atualizado.
Cada atualização feita, traz melhorias e resolvem as brechas de segurança que antes eram um problema nas versões anteriores. Os erros que existiam e deixavam seu site vulnerável a ataques são sanados. Em suma, atualizar seu site em WordPress para a versão mais atual é de extrema importância para que seu site esteja sempre seguro, limpo e bem cuidado.
WPScan e as vulnerabilidades os WrodPress
O WPScan é um moderno software de teste de caixa preta e faz o scanner das possíveis vulnerabilidades em instalações que usam o WrodPress e de todos os seus complementos (temas e plugins). Essa ferramenta, além de verificar vulnerabilidades em sites desenvolvidos em WordPress, automatiza a coleta de todas as informações úteis. Após a coleta de dados, o WPScan mostra todas as falhas do WrodPress e seus plugins de segurança.
WPSCan Vulnerability database
Nesse site, você vai encontrar as vulnerabilidades de Core, Plugins e Temas nas suas respectivas versões. Olhe com bastante calma, assegurando que nenhuma dessas vulnerabilidades existam no site de sua loja virtual ou no seu blog. O catálogo de informações é atualizado constantemente, assegurando que você tome conhecimento prévio de alguma possível vulnerabilidade e a versão usada. Aprimore mais seus conhecimentos e leia também Como Evitar Campanhas Maliciosas
Procurando vulnerabilidades
Como já foi dito anteriormente, as vulnerabilidades mais comuns no WordPress são de temas, plugins e usuários. Depois de usar o WPScan, você pode tomar as medidas necessárias para garantir toda a segurança do seu site, seja por meio de atualizações, seja desabilitando os problemas de segurança que foram apontados. No WPScan, execute o comando abaixo:
ruby wpscan.rb --url
http://seuproprionome.com.br
Ele vai identificar o tema ativo e possíveis problemas da sua versão atual do WordPress. Você também poderá procurar por vulnerabilidades específicas por meio da adição de argumentos no final desse comando.
Verificando vulnerabilidade nos plugins e temas
Se você adicionar a expressão –enumerate vp, esse comando verifica se existe vulnerabilidades nos plugins de sites WordPress. Veja o exemplo abaixo:
ruby wpscan.rb --url
http://seuproprionome.com.br- - enumerate vp
Se alguma vulnerabilidade nos plugins for encontrada, aparecerão ícones com o sinal de uma exclamação em vermelho e outras referências. Não se esqueça de que qualquer plugin que esteja vulnerável, deve ser substituído e removido, caso não seja possível fazer sua atualização para a remoção dessa vulnerabilidade. No caso da verificação da vulnerabilidade dos temas, o comando é o mesmo, porém, com uma pequena troca da última letra. O procedimento de correção é o mesmo dos plugins.
ruby wpscan.rb --url
http://seuproprionome.com.br- - enumerate vt
Verificando a enumeração do usuário
Quando os hackers descobrem os nomes de usuários do WordPress, fica muito mais fácil forçar uma invasão maliciosa. Se o ataque for bem sucedido com permissões suficientes, eles poderão ficar no controle total de seu site, o que vai gerar muita dor de cabeça e estresse. Para descobrir os logins de usuários de seu site, é só usar o argumento – enumerate uno final do comando. Veja o exemplo abaixo:
ruby wpscan.rb --url
http://seuproprionome.com.br- - enumerate u
Adivinhação de senhas
Os hackers possuem grandes coleções de senhas, mas você pode criar um documento de texto que conste um número de senhas que seja razoável. Adicione o argumento – wordlist juntamente como o nome do arquivo da lista de palavras. Veja o exemplo abaixo:
ruby wpscan.rb --url
http://seuproprionome.com.br- - wordlist passwords.txt threads 50
Ainda tem dúvidas sobre as principais vulnerabilidades do WordPress? Sem problemas. Em nosso blog você pode ler mais sobre esse e outros assuntos. Para nós o cliente sempre vem em primeiro lugar!
Gostou de nosso post? Compartilhe: