{"id":467,"date":"2016-03-15T10:11:55","date_gmt":"2016-03-15T13:11:55","guid":{"rendered":"https:\/\/blog.umbler.com\/?p=467"},"modified":"2018-12-06T11:08:28","modified_gmt":"2018-12-06T13:08:28","slug":"o-impacto-das-atualizacoes-do-wordpress-e-seus-componentes-para-a-seguranca","status":"publish","type":"post","link":"https:\/\/blog.umbler.com\/br\/o-impacto-das-atualizacoes-do-wordpress-e-seus-componentes-para-a-seguranca\/","title":{"rendered":"O impacto das atualiza\u00e7\u00f5es do WordPress e seus componentes para a Seguran\u00e7a"},"content":{"rendered":"

A Apiki<\/a>, nossa parceira, lan\u00e7ou a iniciativa #WordPressSeguro<\/a>, focada em seguran\u00e7a<\/a> para WordPress. A ideia \u00e9 afirmar ao p\u00fablico que a plataforma \u00e9, sim, segura – o que n\u00e3o \u00e9 t\u00e3o seguro \u00e9 o comportamento dos usu\u00e1rios. Dando seguimento a nossa s\u00e9rie de posts sobre seguran\u00e7a no Blog da Umbler, convidamos Leandro Vieira<\/strong>, da Apiki, para nos contar mais sobre como proteger o CMS mais utilizado no mundo e uma das pr\u00e1ticas mais importantes para garantir a integridade do seu site: a atualiza\u00e7\u00e3o da plataforma e seus componentes.<\/p>\n

Blog da Umbler:<\/span> O WordPress \u00e9 o CMS mais utilizado do mundo. Mesmo assim, \u00e0s vezes, leva a \u201cfama\u201d de ser inseguro, conte mais sobre a iniciativa #WordPressSeguro da Apiki e como voc\u00eas est\u00e3o tentando desfazer essa ideia.<\/b>
\nLeandro Vieira:<\/b> O WordPress \u00e9 seguro, mas, n\u00e3o podemos afirmar que um software seja 100% seguro – \u00e9 uma lei da seguran\u00e7a. Os problemas de seguran\u00e7a em ambientes com WordPress n\u00e3o est\u00e3o relacionados ao seu core, e, sim, na maioria das vezes, a plugins, temas, infra ou falta de cuidados e processos de seguran\u00e7a, como falta de atualiza\u00e7\u00e3o, senhas fracas e outros. Quando h\u00e1 problema com o core \u00e9 disponibilizado rapidamente uma corre\u00e7\u00e3o.<\/p>\n

O que temos feito \u00e9 educar, explicar e disponibilizar um guia pr\u00e1tico com o caminho das pedras e muita informa\u00e7\u00e3o a respeito.<\/p>\n

BU:<\/span> Qual \u00e9 o maior erro que as pessoas cometem em rela\u00e7\u00e3o \u00e0 seguran\u00e7a do WordPress?<\/b>
\nLV:<\/b> N\u00e3o atualizar o core, os plugins e temas.<\/p>\n

BU:<\/span> Qual, hoje, \u00e9 o maior risco de seguran\u00e7a do WordPress? Como \u00e9 poss\u00edvel minimiz\u00e1-lo?<\/b>
\nLV: <\/b>Seu ecossistema de plugins e a falta de pol\u00edticas de seguran\u00e7a de propriet\u00e1rios de sites WordPress. Os usu\u00e1rios devem manter os plugins sempre atualizados, baixar plugins gratuitos somente do diret\u00f3rio oficial<\/a> e consultar com regularidade o WPScan Vulnerability Database<\/a> para ver o hist\u00f3rico de ocorr\u00eancias dos plugins\/temas. Usu\u00e1rios n\u00e3o t\u00e9cnicos devem contar com especialistas para ter uma assessoria e implementa\u00e7\u00e3o de pol\u00edticas de seguran\u00e7a.<\/p>\n

BU:<\/span> Um dos principais pontos para a seguran\u00e7a, e um dos mais simples, \u00e9 a atualiza\u00e7\u00e3o da vers\u00e3o do WordPress. Qu\u00e3o importante \u00e9, para sites em WordPress, atualizar a vers\u00e3o? <\/b>
\nLV:<\/b> \u00c9 o ponto mais cr\u00edtico e mais importante. Atualizar n\u00e3o s\u00f3 o WordPress, mas todos seus componentes: plugins, temas e o que mais estiver envolvido. E tamb\u00e9m a infraestrutura de hospedagem do site.<\/p>\n

A plataforma contribui como pode e vem evoluindo sistematicamente nessa dire\u00e7\u00e3o. Um exemplo \u00e9 o processo de atualiza\u00e7\u00e3o autom\u00e1tica para vers\u00f5es focadas em seguran\u00e7a e melhorias nas regras de senhas para os usu\u00e1rios para evitar ataques de for\u00e7a-bruta.<\/p>\n

BU:<\/span> Sobre atualiza\u00e7\u00e3o: quais s\u00e3o as melhores pr\u00e1ticas para realizar esse procedimento com seguran\u00e7a?<\/b>
\nLV: <\/b>Primeiramente ter outros ambientes, al\u00e9m do de produ\u00e7\u00e3o, para realizar os devidos testes e garantir uma atualiza\u00e7\u00e3o sem impactos. \u00c9 interessante fazer uso de versionamento, com o Git, e deploy automatizado, com o Jenkins, por exemplo, para automatizar e agilizar o processo.<\/p>\n

Em conjunto a outros procedimentos, como o cuidado com senhas de WordPress<\/a>, a atualiza\u00e7\u00e3o de vers\u00f5es, como afirma Vieira, \u00e9 extrema import\u00e2ncia para proteger sites na plataforma. Segundo a Apiki, praticamente 60% das instala\u00e7\u00f5es WordPress est\u00e3o desatualizadas – um n\u00famero alarmante, uma vez que manter o WordPress em sua \u00faltima vers\u00e3o \u00e9 garantir o uso de um software com as mais recentes corre\u00e7\u00f5es de bugs, seguran\u00e7a e, claro, desfrutar de novos recursos.<\/p>\n

Tamb\u00e9m de acordo com a Apiki, a regra deve ser estendida para os plugins, temas, sistema operacional e demais programas em quest\u00e3o. Uma vers\u00e3o desatualizada pode estar deixando a porta dos fundos (ou a da frente) aberta ou com a chave na fechadura, e essa responsabilidade n\u00e3o pode ser creditada \u00e0 aplica\u00e7\u00e3o.<\/p>\n

A fim de alertar para a import\u00e2ncia de um processo cont\u00ednuo de atualiza\u00e7\u00f5es do WordPress e seus componentes, destacamos um \u00f3timo material produzido por nossos parceiros.<\/p>\n

WordPress e seguran\u00e7a na m\u00eddia<\/h2>\n

\u00c9 comum noticiarem que milh\u00f5es de instala\u00e7\u00f5es da plataforma de gest\u00e3o de conte\u00fado mais utilizada do mundo est\u00e3o vulner\u00e1veis. Poucos, por\u00e9m, percebem o porqu\u00ea. Na maioria dos casos s\u00e3o complementos desatualizados, sejam plugins ou bibliotecas de sistemas operacionais, que tiveram brechas recentes descobertas e n\u00e3o a plataforma WordPress.<\/p>\n

As not\u00edcias ilustradas abaixo s\u00e3o emblem\u00e1ticas quanto a isso:
\n\"Impacto
\nDestaque para a vulnerabilidade GHOST que afeta servidores Linux e, por conseguinte, aplica\u00e7\u00f5es PHP, e, claro, o WordPress. \u00c9 importante, por\u00e9m, deixar claro que a brecha afeta milhares de softwares na referida linguagem. E que, para corrigir o problema, basta uma atualiza\u00e7\u00e3o da biblioteca no Linux.
\n\"Impacto
\nEm not\u00edcias como esta, muito recorrentes nas publica\u00e7\u00f5es da \u00e1rea, s\u00e3o divulgadas brechas em plugins, que, quando s\u00e3o muito populares, podem afetar milh\u00f5es de instala\u00e7\u00f5es. O core da plataforma est\u00e1 seguro e foi o recurso adicional que trouxe a surpresa desagrad\u00e1vel. Atualizando o plugin, se a corre\u00e7\u00e3o for disponibilizada, o problema ser\u00e1 corrigido.<\/p>\n

Alguns plugins s\u00e3o bem codificados e adotam boas pr\u00e1ticas de desenvolvimento e seguran\u00e7a. Melhor ainda s\u00e3o os que praticam um processo de atualiza\u00e7\u00e3o constante, como foi o caso recente do WordPress SEO e WooCommerce, em que brechas foram divulgadas e rapidamente corrigidas.<\/p>\n

Outros plugins s\u00e3o lan\u00e7ados e n\u00e3o t\u00eam manuten\u00e7\u00e3o, comprometendo quem faz uso. \u00c9 importante que desenvolvedores sejam mais criteriosos com suas escolhas de plugins.<\/p>\n

As atualiza\u00e7\u00f5es autom\u00e1ticas<\/h2>\n

A partir da vers\u00e3o 3.7, lan\u00e7ada em 24 de outubro de 2013, foi implementado o recurso de atualiza\u00e7\u00e3o autom\u00e1tica do core para vers\u00f5es de manuten\u00e7\u00e3o e corre\u00e7\u00f5es de seguran\u00e7a.<\/p>\n

Se voc\u00ea est\u00e1 fazendo uso da vers\u00e3o 4.1, por exemplo, e a vers\u00e3o 4.1.1 for lan\u00e7ada, essa \u00faltima ser\u00e1 implementada automaticamente e de forma silenciosa.<\/p>\n

A pr\u00e1tica aumenta a possibilidade de diminuir a quantidade de usu\u00e1rios com instala\u00e7\u00f5es antigas e demonstra os esfor\u00e7os da plataforma em adotar pr\u00e1ticas importantes de seguran\u00e7a e aux\u00edlio aos usu\u00e1rios.<\/p>\n

Versionamento e deploy automatizado<\/h2>\n

Atualiza\u00e7\u00f5es autom\u00e1ticas n\u00e3o s\u00e3o para todo mundo, nem permitir a atualiza\u00e7\u00e3o via painel pelo pr\u00f3prio cliente.<\/p>\n

A gest\u00e3o do seu projeto pode, e deveria, estar integrada com um controle de vers\u00e3o (Git, SVN, etc). Isso requer um controle do seu lado; deixar a plataforma trabalhar sozinha ou permitir que o usu\u00e1rio interfira pode atrapalhar o processo.<\/p>\n

Prefira as atualiza\u00e7\u00f5es, remo\u00e7\u00e3o ou adi\u00e7\u00e3o de plugins atrav\u00e9s de versionamento e continuous delivery, ao contr\u00e1rio de atualiza\u00e7\u00f5es atrav\u00e9s do Dashboard da aplica\u00e7\u00e3o. Com essa pr\u00e1tica, \u00e9 poss\u00edvel validar as atualiza\u00e7\u00f5es em outros ambientes antes de aplicar as mudan\u00e7as em produ\u00e7\u00e3o. Al\u00e9m disso, reverter para uma vers\u00e3o anterior ser\u00e1 poss\u00edvel e pr\u00e1tico caso o processo falhe ou aconte\u00e7a algo indesejado.<\/p>\n