Jogando Whack-a-Mole com WordPress Security

Publicados: 2020-01-11

Proteger um site hoje em dia (mesmo pequeno) está se tornando cada vez mais difícil. E se você estiver usando o WordPress, você também pode ter um grande alvo nas costas. Entre pessoas nefastas e bots implacáveis, cada minuto de cada dia se tornou um campo de batalha.

A parte verdadeiramente impressionante disso é que você pode fazer praticamente todas as coisas certas e ainda acabar com um site invadido. Vá em frente e mantenha seus plugins e temas atualizados. Execute um plug-in de segurança ou coloque outras barreiras à entrada. Faça tudo isso e você ainda pode se encontrar em uma posição comprometida.

Recentemente, descobri esse fato difícil para mim. Ajudei um colega com um site que enfrentava vários problemas – apesar de pensarmos que estávamos fazendo as coisas “da maneira certa”. Isso me inspirou a sentar e pensar sobre a experiência. Com isso, aqui estão alguns pensamentos sobre o que aprendi e algumas teorias sobre outras etapas que podemos tomar para proteger melhor um site WordPress.

O passado pode assombrá-lo

O passado pode assombrá-lo

O núcleo, plugins e temas do WordPress têm suas próprias falhas de segurança. O núcleo geralmente é corrigido rapidamente, enquanto você espera e reza para que plugins e temas recebam o mesmo tipo de tratamento. Mas, como vimos, tapar buracos nem sempre é suficiente.

Se o seu site foi construído há alguns anos, você pode estar sujeito a vulnerabilidades que nem conhecia. Talvez eles tenham sido corrigidos... ou talvez não. Mesmo que o problema tenha sido corrigido, seu site pode ter ficado exposto por um período de tempo até que você instalou um patch ou removeu um item completamente. O que aconteceu no intervalo? Você pode não descobrir por um bom tempo.

Por exemplo, enquanto vasculhava aquele site problemático que mencionei anteriormente, arquivos maliciosos foram encontrados no diretório /wp-includes/. Cada um eram arquivos .php que imitavam o nome e a data de modificação de outros arquivos legítimos naquele diretório. Agora, é possível que os arquivos tenham sido de alguma forma retroativos para fazer parecer que eles estavam lá o tempo todo. Mas, considerando o valor nominal, parece que tivemos um caso de malware inativo. Assim como um vírus de computador que entrega alguma carga útil em uma data e hora específicas, esse código malicioso pode ter “recebido a chamada” para entrar em ação.

O ponto é que, potencialmente, ter o plugin errado instalado na hora errada pode lhe dar dores de cabeça no futuro. Manter-se atualizado é uma ótima estratégia, mas não é infalível. Apenas ver o punhado de plugins que distribuem intencionalmente código malicioso recentemente mostra que você está em um catch-22.

Uma paisagem em constante mudança

Uma paisagem em constante mudança

Se perguntado, acho que muitos de nós diríamos que somos melhores em nosso trabalho agora do que éramos há alguns anos. Aprendemos, evoluímos e aplicamos esse novo conhecimento ao nosso trabalho. Como tal, nossas escolhas ao construir um site também evoluem. As ferramentas e técnicas que usamos raramente são as mesmas ano após ano.

O WordPress e seu ecossistema passam por esse mesmo processo – mas em um ritmo muito mais rápido. O plugin obrigatório de ontem pode virar pó amanhã. Uma única atualização desajeitada pode afastar os usuários em massa.

Portanto, um site que você construiu há alguns anos e entregou a um cliente pode estar executando plugins que você não pensaria em usar hoje. Como diz o velho ditado: “Fora da vista, fora da mente”.

É preciso alguma medida de vigilância para garantir que você não esteja apenas usando as versões mais recentes, mas também substituindo itens que não são mais a melhor escolha. Infelizmente, esse tipo de atenção constante nem sempre é prático para muitos designers. Nem sempre temos tempo e os clientes nem sempre têm orçamento para se dedicar a isso. Sem mencionar o fato de que substituir um plugin pode ser uma grande tarefa em alguns casos. Um tema pode ser ainda mais difícil.

Na realidade, a coisa toda é como um jogo gigante de whack-a-mole. Às vezes parece que sua única defesa é ficar de prontidão com o martelo na mão, pronto para bater na próxima criatura que aparecer. Tem que haver uma maneira melhor.

O que mais podemos fazer?

O que mais podemos fazer?

Por isso, aplicamos atualizações regularmente e implementamos medidas de segurança extras. Usamos senhas fortes e tentamos dificultar ao máximo o acesso não autorizado ao nosso site. No entanto, ainda enfrentamos ataques constantes – alguns dos quais passam.

Admito que não sou o maior especialista em segurança. Mas tenho algumas ideias sobre outras medidas que podemos tomar para manter nossos sites livres de malware e similares. Talvez alguns sejam um pouco desmiolados, mas minha esperança é despertar a discussão em vez de salvar toda a humanidade.

Auditorias de plug-ins
Isso é algo que podemos fazer rotineiramente sozinhos e realmente cobrar dos clientes. A ideia é verificar rotineiramente (talvez 2-3 vezes por ano) quais plugins estão instalados e eliminar os potencialmente problemáticos. Procure por plugins que são considerados abandonados (sem atualizações por pelo menos dois anos) ou removidos completamente do Repositório de Plugins do WordPress. Em seguida, faça substituições quando necessário.

Acesso a melhores informações
Melhor ainda seria um serviço em larga escala que nos mantivesse informados sobre quais plugins são antigos/maliciosos/removidos. Desenvolvedores e proprietários de sites podem se beneficiar muito de ter esse tipo de recurso ao nosso alcance. Apenas saber o que está acontecendo no ecossistema WordPress pode nos ajudar a evitar mais problemas.

Tome decisões mais sábias
Muitas vezes tomamos o que sentimos ser as melhores decisões naquele momento específico. Mas nós podemos fazer melhor. Por exemplo, escolher um plug-in geralmente é encontrar a solução mais rápida para um problema. Mas a solução mais rápida nem sempre é a melhor. A verificação de plugins por sua qualidade deve ser tão importante quanto sua funcionalidade. Nem sempre acertaremos, mas olhar para changelogs e fóruns de suporte pode ser uma grande ajuda na tomada de decisões.

Entenda o jogo
Quando lançamos um site recém-construído, isso não significa que nosso trabalho terminou. Para manter as coisas seguras, devemos continuar atentos ao que está acontecendo. Parte disso pode estar usando plugins de segurança automatizados que nos enviam um e-mail quando algo está errado. Mas também se trata de dar uma olhada manualmente de vez em quando. Revise o painel do WordPress e também examine a estrutura de arquivos do site para procurar algo suspeito.

Hospedagem proativa
Eu gostaria de pensar que a maioria dos hosts da web fazem da segurança uma prioridade. Mas isso não significa que não há espaço para melhorias. Pela minha própria experiência, parece que os hosts geralmente reagem a problemas depois que eles ocorrem. Acredito que poderíamos nos beneficiar de hosts que são mais proativos em sua abordagem à segurança. Por exemplo, alertar os clientes sobre informações sobre as ameaças de segurança mais recentes e como proteger seu site contra elas.

Treinar clientes
Por fim, é importante treinar clientes sobre o que fazer e o que não fazer no WordPress. Se eles acessarem o back-end do site, eles devem conhecer os riscos potenciais de instalar plug-ins ou fornecer informações de sua conta a outras pessoas. Eles têm um grande papel a desempenhar em manter seu próprio site são e salvo.

Sempre um alvo

O WordPress é tão amplamente usado que não é de admirar por que se tornou um alvo para hackers. Infelizmente, isso é algo que vem junto com todo esse grande sucesso.

Por isso, todos nós precisamos subir de nível quando se trata de nossas práticas de segurança. Idealmente, isso significa verificações regulares do site e, mais importante, acesso a informações críticas. O conhecimento é a chave para qualquer desafio. Sem isso, ficaremos para sempre presos naquele jogo de carnaval.