O WordPress foi criado em 2003 para ser uma ferramenta de blog pessoal. Na época concorrente do Blogger (Google). Um espaço para postar opiniões, dicas, cotidiano e artigos sobre os mais variados temas como hobbies, trabalhos ou até mesmo atividades pessoais. De lá para cá a ferramenta passou por muitas atualizações e expansões. Uma das mais significativas foi a criação de páginas institucionais. A partir de então é possível criar um site completo mas ainda com muitas limitações.
Para suprir as limitações do WordPress e criar site como conhecemos surgiram os temas e plugins. De uma forma bem genérica tema é o layout (cores, fontes, espaçamentos) e plugins são as funcionalidades (formulário de contato, redirecionamentos, banners, botão flutuantes do Whatsapp, ferramentas de configuração de SEO, etc.). Os temas e plugins são criados por outras pessoas e empresas fora da WordPress e ficam disponíveis na “loja de apps” do WordPress geralmente de graça. É aqui que está um dos maiores problemas de segurança!
A primeira porta de entrada é o servidor de hospedagem. É essencial ter um bom servidor de hospedagem não só para projetos WordPress mas qualquer site/sistema web. Na dúvida pergunte a um programador de confiança. Este é um dos menores custos de todo o projeto então não vale a pena economizar poucos reais e fechar com uma empresa ruim. A GX oferece serviço de hospedagem de altíssimo desempenho e segurança, entre em contato conosco.
O sistema do WordPress base, ou seja, sem nenhum tema e sem nenhum plugin oferece boas proteções. Citando algumas com uma explicação rápida:
Quando um sistema é acessado com login e senha o sistema pega as informações digitadas nas caixinha e procura no banco de dados. Invasores colocam trecho de código nestas caixinhas e assim conseguem o controle do banco de dados. A proteção elimina os trechos de códigos garantindo que nada é executado no banco de dados. Ponto para o WordPress!
As senhas e outros dados sensíveis são criptografados com contas matemáticas e binárias cujo é impossível obter o reverso. É como multiplicar um número por 0 e tentar obter o inverso dividindo por 0... é impossível. Mais um ponto para o WordPress!
O WordPress também possuí outras proteções importantes mas agora vamos falar das falhas:
O captcha são aquelas desafios para verificar se a pessoa é humana. Isto é importante pois um dos meios mais comuns de invasão no WordPress é o chamado “força bruta” onde bots tentam milhares/milhões de logins e senhas até acertar. Se você utiliza login “admin” e senha “123456” vc está o número 1 da lista do ataque de força bruta. É importante ter um captcha ou outro recurso para barrar tentativas repetidas muito próximas. Não basta ter um captcha qualquer. Aqueles desafios de digitar as letrinhas ou de selecionar imagens como motos, ônibus, montanhas, hidrantes, etc. já não são mais efetivos nos dias atuais. Qualquer IA no plano grátis consegue resolver dando assim condições para o bot de força bruta agir. A Gexis desenvolveu um captcha moderno baseado nos sistemas do Tiktok e Discord que é fácil para humanos porém difícil para IA. Basicamente são imagens diferentes que precisam estar na mesma direção. Me peça uma demonstração.
Este método é extremamente simples e eficaz. Trata-se de colocar um campo oculto (exemplo um campo chamado e-mail) para que um bot preencha. Ao preencher este campo o sistema já sabe que é tentativa de invasão pois trata-se de um campo invisível para humanos. Básico, simples e efeitvo em muitos casos!
Mesmo se com todas estas travas o invasor conseguir rodar um bot o sistema deve identificar as tentativas repetidas através de ações que seriam impossíveis para um ser humano em um único dispositivo. Os bots costumar disparar centenas ou milhares tentativas em segundos e então conseguimos identificar a tentativa de invasão. Aqui podemos fazer algo para enganar o bot que é dar para ele uma tela fake de "sucesso" o que provavelmente vai cessar o ataque pois ele já conseguiu o objetivo mas na realidade é um tela fake sem risco para o sistema.
Os sites e sistemas da GEXIS oferecem todas estas proteções extras e mais! Me peça uma demonstração.
São complementos ao WordPress base oferecendo os recursos necessários para criação de um site. São criados por outros programadores e/ou empresas de diferentes partes do mundo com objetivos, qualificações e metas próprias. Eles podem ser pagos, gratuitos com limitações de uso ou totalmente gratuitos. Alguém ainda acredita em almoço grátis?
Os temas e plugins tem autorizações plenas em um site em WordPess, isto significa que eles podem fazer qualquer tipo de alteração em qualquer parte do site a qualquer momento mesmo sem o login e senha do painel administrativo e mesmo sem concentimento do programador ou do dono do site. A partir do momento que você instala um tema ou plugin o criador tem acesso total.
Ao instalar algum tema ou plugin o círculo de confiança não está mais apenas entre empresa contratante x programador x hospedagem x WordPress. Aqui são acrescentados novos players: outros programadores x outras empresas x outros servidores de hospedagem x etc. Não é mais 1 programador mexendo no site, são dezenas / centenas / milhares de pessoas ao redor do mundo. O risco aumenta exponencialmente - não é a toa que ano após ano o WordPress é a plataforma mais invadida do mundo em números absolutos e porcentagem.
Citando os principais riscos:
• Nenhum programador conhece 100% do código que está sendo instalado via tema ou plugin. Alguns trechos inclusive ficam nos servidores do criadores cujo o acesso não é aberto. Então o programador não pode (não deveria) dar garantia nenhuma de segurança.
• Os criadores podem capturar informações dos clientes. Desde dados de navegação até formulários preenchidos com dados pessoais.
• Plugin atualizado NÃO é plugin seguro. Quem decide a atualização são os criadores dos plugins de forma independente. Muitas vezes eles podem desconhecer as vulnerabilidades mesmo tendo a versão mais recente instalada. Muitas invasões acontecem via plugins.
• Os plugins podem utilizar o site para promover a si mesmo ou a sites de terceiros. Isto é altamente perigoso caso o Google e outras ferramentas identifiquem que o site promocionado é malicioso pois o teu site também será penalizado por estar vinculado a um site ilegal.
• Geralmente os temas e plugins envelhecem mal. No ato da entrega tudo estará funcionando corretamente. Ao passo que os desenvolvedores vão lançando atualizações as integrações entre outros temas e plugins vão naturalmente perdendo qualidade e precisão. O site começará a apresentar problemas diversos sendo necessário manutenções periódicas.
Depende dos objetivos:
Para um site simples, rápido e barato com o objetivo de testar a viabilidade de uma empresa ou precisar lançar algo urgente, o WordPess pode ser uma excelente opção! Para este cenário qualquer economia de tempo e dinheiro é muito relevante e se encaixa no objetivo.
Mas um site um WordPress não se encaixa bem em empresas já consolidadas de pequeno ou grande porte, sites governamentais, sites com muitas visitações, sites que invistam em SEO técnico ou com algum sistema integrado. Neste caso é melhor partir para uma solução mais robusta, segura e dedicada. A GEXIS tem uma solução, entre em contato conosco.
