Vulnerabilidade do WordPress. Quais são?

Vulnerabilidade do WordPress. Quais são?

10/12/2017 às 23:50WordPress

Se você tem o site de sua loja virtual em WordPress, sabe que essa aplicação web, como qualquer outra, pode apresentar vulnerabilidades de segurança. É claro que nada é 100% seguro na internet e nenhum site está totalmente imune de ser invadido ou apresentar falhas de segurança. Existe uma preocupação constante em amenizar as vulnerabilidades do WordPress para garantir que a experiência do usuário seja cada vez melhor. Se você ficou curioso para saber quais são as vulnerabilidades do WordPress, leia esse artigo até o final e deixe seu site mais seguro.

Vulnerabilidades de segurança no WordPress

Não existem dúvidas de que o WordPress é um dos softwares mais seguros que existem para o desenvolvimento de qualquer tipo de projeto, seja site, blog ou e-commerce. Mas isso não significa que ele não apresente falhas de segurança, geralmente humanas, que podem deixá-lo vulnerável a ataques externos de hackers. Mas quais são as falhas mais comuns?

- não executar a versão mais recente do WrodPress

- não executar a atualização de temas ou plugins

- instalar plugins ou temas que sejam inseguros ou perigosos

- não trocar o nome de usuário e usar sempre admin

- manter os plugins ou temas não utilizados

- usar senhas fracas que podem ser facilmente descobertas

- deixar o site sem a autenticação de segurança SSL

Essas são algumas das falhas de segurança deixadas pelos administradores de um site. Por isso, é extremamente importante cuidar desses detalhes dentro do WordPress para não se ter dores de cabeça posteriormente. Lembre-se de que uma senha forte já garante que seu site não sofra facilmente ataques maliciosos e pode fazer toda a diferença. Leia nosso post sobre proteger site de invasão

Porque devo atualizar o WordPress?

Se uma vulnerabilidade é descoberta no WordPress e uma nova versão do software é lançada para resolver o problema, as informações necessárias para explorar a falha já serão de conhecimento alheio, certo? Isso faz com que as versões mais antigas do WrodPress sejam mais propensas a sofres ataques dos conhecidos hackers. Por isso, a necessidade que você mantenha seu WordPress sempre atualizado.

Cada atualização feita, traz melhorias e resolvem as brechas de segurança que antes eram um problema nas versões anteriores. Os erros que existiam e deixavam seu site vulnerável a ataques são sanados. Em suma, atualizar seu site em WordPress para a versão mais atual é de extrema importância para que seu site esteja sempre seguro, limpo e bem cuidado.

WPScan e as vulnerabilidades os WrodPress

O WPScan é um moderno software de teste de caixa preta e faz o scanner das possíveis vulnerabilidades em instalações que usam o WrodPress e de todos os seus complementos (temas e plugins). Essa ferramenta, além de verificar vulnerabilidades em sites desenvolvidos em WordPress, automatiza a coleta de todas as informações úteis. Após a coleta de dados, o WPScan mostra todas as falhas do WrodPress e seus plugins de segurança. Conheça mais sobre os serviços de proteção de site Sucuri oferecidos por nossa empresa.

Explore essa ferramenta ao máximo para corrigir todas as vulnerabilidades do WordPress. O WPScan possui diversos recursos que te ajudarão a identificar essas falhas de segurança no site ou blog de sua empresa que são baseados no WrodPress.

WPSCan Vulnerability database

Nesse site, você vai encontrar as vulnerabilidades de Core, Plugins e Temas nas suas respectivas versões. Olhe com bastante calma, assegurando que nenhuma dessas vulnerabilidades existam no site de sua loja virtual ou no seu blog. O catálogo de informações é atualizado constantemente, assegurando que você tome conhecimento prévio de alguma possível vulnerabilidade e a versão usada. Aprimore mais seus conhecimentos e leia também Como Evitar Campanhas Maliciosas

Procurando vulnerabilidades

Como já foi dito anteriormente, as vulnerabilidades mais comuns no WordPress são de temas, plugins e usuários. Depois de usar o WPScan, você pode tomar as medidas necessárias para garantir toda a segurança do seu site, seja por meio de atualizações, seja desabilitando os problemas de segurança que foram apontados. No WPScan, execute o comando abaixo:

ruby wpscan.rb --urlhttp://seuproprionome.com.br

Ele vai identificar o tema ativo e possíveis problemas da sua versão atual do WordPress. Você também poderá procurar por vulnerabilidades específicas por meio da adição de argumentos no final desse comando. 

Verificando vulnerabilidade nos plugins e temas

Se você adicionar a expressão –enumerate vp, esse comando verifica se existe vulnerabilidades nos plugins de sites WordPress. Veja o exemplo abaixo:

ruby wpscan.rb --urlhttp://seuproprionome.com.br- - enumerate vp

Se alguma vulnerabilidade nos plugins for encontrada, aparecerão ícones com o sinal de uma exclamação em vermelho e outras referências. Não se esqueça de que qualquer plugin que esteja vulnerável, deve ser substituído e removido, caso não seja possível fazer sua atualização para a remoção dessa vulnerabilidade. No caso da verificação da vulnerabilidade dos temas, o comando é o mesmo, porém, com uma pequena troca da última letra. O procedimento de correção é o mesmo dos plugins.

ruby wpscan.rb --urlhttp://seuproprionome.com.br- - enumerate vt 

Verificando a enumeração do usuário

Quando os hackers descobrem os nomes de usuários do WordPress, fica muito mais fácil forçar uma invasão maliciosa. Se o ataque for bem sucedido com permissões suficientes, eles poderão ficar no controle total de seu site, o que vai gerar muita dor de cabeça e estresse. Para descobrir os logins de usuários de seu site, é só usar o argumento – enumerate uno final do comando. Veja o exemplo abaixo:

ruby wpscan.rb --urlhttp://seuproprionome.com.br- - enumerate u

Adivinhação de senhas

Os hackers possuem grandes coleções de senhas, mas você pode criar um documento de texto que conste um número de senhas que seja razoável. Adicione o argumento – wordlist   juntamente como o nome do arquivo da lista de palavras. Veja o exemplo abaixo:

ruby wpscan.rb --urlhttp://seuproprionome.com.br- - wordlist passwords.txt threads 50

Ainda tem dúvidas sobre as principais vulnerabilidades do WordPress? Sem problemas. Em nosso blog você pode ler mais sobre esse e outros assuntos. Para nós o cliente sempre vem em primeiro lugar!

Gostou de nosso post? Compartilhe: