Um camarada veio falar comigo depois da invasão que sofri no blog sobre a falta de segurança que existe no WordPress. O fato é que o WordPress é uma das plataformas CMS mais utilizadas no mundo pela sua simplicidade, fácil instalação e dos milhares de plugins existentes para ele, mas é aí que mora boa parte dos problemas desta plataforma.

A última grande vulnerabilidade que afetou mais de 3500 blogs baseados em wordpress, incluindo o Coruja de TI, foi encontrado no timthumb.php, que é utilizado por mais de 90% dos temas desenvolvidos para esta plataforma, mas acho que vocês não sabem que este foi um caso excepcional, digo isso pois boa parte das vulnerabilidades encontradas no wordpress estão diretamente associados aos seus plugins, e isso meus amigos é muito fácil de constatar, basta acessar o seguinte site: exploit-db/sessão web

Para facilitar a vida de todos, eu fiz uma pequenina query e vejam só o resultado:

Depois desta query eu reafirmo, tomem cuidado na hora que forem instalar o seu ambiente para suportar o WordPress. Há uma série de configurações que precisam ser feitas para assegurar o seu S.O. e o seu banco de dados antes de colocar o CMS preferido dos blogueioros para rodar.

Verifique a lista de plugins que você deseja instalar no seu ambiente dentro de uma base de exploits e vulnerabilidades como o exploit-db. Essa base é fácil de utilizar e quem sabe você descobrirá que aquele plugin superlegal que você queria tanto usar possui um bug e que ainda não foi resolvido.

E lembrem-se, não há segurança 100%, principalmente se tratando de plataformas como o WordPress que possuem milhares de pessoas desenvolvendo para ela e muitos não possuem conhecimentos avançados de programação segura ou que sigam as dicas da OWASP.

E jamais poderemos nos esquecer dos 0day — 🙂

Compartilhar:

Este post tem 6 comentários

  1. Por isso que eu não confio em programador que não entende de segurança (a maioria…)

  2. nunca confie em um programa no qual vc desconheça o source ! :p

  3. Nunca é tarde para aprender com os proprios erros.

  4. A maioria dos programadores não dão importancia para segurança, apenas querem que a aplicação funcione, o que precisa ser feito é implantar uma boa estrutura de segurança, ainda mais quando utilizamos Add-ons de Community’s, pois não sabemos ao certo a origem do código fonte…

    Infelizmente isso não é possível fazer quando hospedamos em ambientes compartilhado ou revenda, somente em Cloud ou VPS.

    Não confio nem mesmo nos códigos que conheço ou crio, muitas vezes a vulnerabilidade esta aonde menos se espera e aonde você tem a certeza de que está totalmente certo.

    Muito bom a abordagem do tópico Gustavo, devemos conhecer as vulnerabilidade de aplicações Web e sempre se atualizar, em muitos casos a aplicação Web é a porta de entrada para muitas empresas.

    Abraço!

  5. Le0villeMS concordo com você.

  6. Programar hoje em dia se tornou “´fácil”. Vemos todos os dias pessoas aprendendo a programar com tutoriais e colocando seus aplicativos e sites na web. Mesmo que seus aplicativos e sites funcionem, falta a parte de segurança. É muito comum instalarmos um aplicativo ou plugin que se mostre cheio de bugs. Por isso, como tido no post, é necessário tomar cuidado com o que colocamos no nosso site, mas também é necessário nos preocupar com a segurança do mesmo

Deixe uma resposta

Fechar Menu