Um camarada veio falar comigo depois da invasão que sofri no blog sobre a falta de segurança que existe no WordPress. O fato é que o WordPress é uma das plataformas CMS mais utilizadas no mundo pela sua simplicidade, fácil instalação e dos milhares de plugins existentes para ele, mas é aí que mora boa parte dos problemas desta plataforma.

A última grande vulnerabilidade que afetou mais de 3500 blogs baseados em wordpress, incluindo o Coruja de TI, foi encontrado no timthumb.php, que é utilizado por mais de 90% dos temas desenvolvidos para esta plataforma, mas acho que vocês não sabem que este foi um caso excepcional, digo isso pois boa parte das vulnerabilidades encontradas no wordpress estão diretamente associados aos seus plugins, e isso meus amigos é muito fácil de constatar, basta acessar o seguinte site: exploit-db/sessão web

Para facilitar a vida de todos, eu fiz uma pequenina query e vejam só o resultado:

Depois desta query eu reafirmo, tomem cuidado na hora que forem instalar o seu ambiente para suportar o WordPress. Há uma série de configurações que precisam ser feitas para assegurar o seu S.O. e o seu banco de dados antes de colocar o CMS preferido dos blogueioros para rodar.

Verifique a lista de plugins que você deseja instalar no seu ambiente dentro de uma base de exploits e vulnerabilidades como o exploit-db. Essa base é fácil de utilizar e quem sabe você descobrirá que aquele plugin superlegal que você queria tanto usar possui um bug e que ainda não foi resolvido.

E lembrem-se, não há segurança 100%, principalmente se tratando de plataformas como o WordPress que possuem milhares de pessoas desenvolvendo para ela e muitos não possuem conhecimentos avançados de programação segura ou que sigam as dicas da OWASP.

E jamais poderemos nos esquecer dos 0day — 🙂