O que aprendemos sobre a segurança do WordPress em 24.000 sites da Web

Views: 383
0 0
Read Time:3 Minute, 39 Second

Preocupado em proteger a segurança de seu site WordPress? Você deveria estar! Milhares de sites são invadidos todos os dias, e como o WordPress é usado por cerca de 30% da web, é um alvo favorito dos hackers. Talvez a ilustração mais dramática disto tenha sido a vulnerabilidade de 2017 que levou a mais de 1,5 milhões de websites a serem hackeados, mas hackers menos dramáticos (mas não menos prejudiciais) ocorrem constantemente.

Isso não quer dizer que o WordPress não possa ser uma plataforma segura e confiável para o seu site funcionar. Definitivamente pode, se medidas de segurança adequadas forem tomadas. Como este estudo mostra, porém, muitos proprietários de sites não estão tomando nem mesmo as medidas de segurança mais básicas.

O WordPress não é inerentemente menos seguro que qualquer outra plataforma, mas com o volume de sites WP por aí, junto com muitos proprietários de sites negligenciando seus sites WP, bem… há muita fruta de baixa pendurada por aí para os hackers explorarem. -Ken Dawes @ The Web Mechanic

Por que as atualizações do WordPress são tão importantes?

Uma das maneiras mais simples de evitar ser vítima de hacking é instalar as últimas atualizações para WordPress, plugins e temas. Essas atualizações freqüentemente contêm correções para vulnerabilidades de segurança encontradas por hackers ou pesquisadores. (Um popular banco de dados de vulnerabilidades lista mais de 11.000 vulnerabilidades conhecidas que foram encontradas em versões antigas do WordPress e seus temas e plugins). Quanto mais rápido você instalar as atualizações, maior a probabilidade de proteger seu site antes que um hacker se aproxime de você.

Cerca de 1/2 dos sites da Web utilizam uma versão desatualizada do WordPress

Analisamos os 10.000 principais sites WordPress da Quantcast em 5 de abril de 2018 para determinar qual versão do WordPress os sites estavam rodando. (A última versão (4.9.5) havia sido lançada 2 dias antes, em 3 de abril). Constatamos que 49% dos sites estavam rodando uma versão desatualizada do WordPress:

  • 51% estavam usando a versão mais recente (4.9.5)
  • 15% estavam usando a versão anterior (4.9.4)
  • 34% estavam usando versões mais antigas (4.9.3 ou anteriores)
wordpress security study top 10k sites

Muitos sites são muito lentos para serem atualizados

Como nossa primeira análise foi feita apenas 2 dias após o lançamento da nova versão, nós reanalisamos a análise em 13 de abril, 10 dias após o lançamento da versão 4.9.5. Encontramos apenas uma pequena melhoria, com 44% dos 10.000 sites principais rodando uma versão desatualizada (abaixo dos 49% da semana anterior). Como muitos hackers rodam crawlers automáticos que encontram e exploram sites vulneráveis, 10 dias é uma janela muito longa de oportunidade para os hackers encontrarem e danificarem seu site.

Sites menores são 27% mais propensos a estarem desatualizados
Também analisamos websites menos populares (especificamente, 14.000 websites com um ranking de tráfego inferior a 500.000) para ver como as práticas diferem em sites menores. Aqui está a versão WordPress que os dois grupos de sites estavam usando:

Top 10,000 SitesLower Traffic Sites
Current Version56%44%
Previous Version11%8%
Older Versions33%48%

Estes dados mostram que os sites de baixo tráfego têm 27% mais probabilidade de usar uma versão desatualizada do WordPress. Isto parece fazer sentido, porque websites de baixo tráfego normalmente representam indivíduos e pequenas organizações que podem não ter pessoal técnico ou desenvolvedores em tempo integral para manter seu website atualizado e seguro.

Manter-se atualizado com as versões do WordPress evita que você seja vítima de um ataque de frutas de baixa pendência. Quando uma vulnerabilidade é encontrada em uma versão do WordPress, os hackers criam um exploit para essa vulnerabilidade e depois lançam uma ampla rede, geralmente de forma automatizada, procurando ver quem não está atualizado. -Greg Kelley @ Vestige Digital Investigations

25% a 67% dos sites implementaram HTTPS

Nos últimos anos, o HTTPS passou de algo mais utilizado pelos websites de comércio eletrônico e financeiro para uma melhor prática para todos os websites. Em julho de 2018 o Google planeja começar a marcar explicitamente todos os sites http como “Não Seguros”, o que motivará ainda mais os sites a mudarem para HTTPS.

Durante nossa análise, verificamos os sites WordPress para determinar se eles têm HTTPS configurado como seu protocolo padrão. Verificamos que 67% dos principais sites WordPress implementaram HTTPS como padrão, enquanto apenas 25% dos sites com pouco tráfego o fizeram.

wordpress security study https adoption

FONTE: COMODO SSL STORE

POSTS RELACIONADOS