Como analisar aspectos de segurança de plugins WordPress

Plugins são softwares que complementam o core do WordPress para as mais variadas funcionalidades.

O ecossistema de complementos da plataforma é extenso e é necessário saber analisar os aspectos de segurança de plugins WordPress para fazer escolhas boas e seguras.

No momento em que escrevo este artigo, estão disponíveis mais de 40 mil plugins que, somados, foram baixados mais de um bilhão de vezes.

Com esse volume, o desafio vem sendo cada vez maior para o time de segurança responsável pelas análises e, principalmente, dos usuários que não sabem como fazer a melhor escolha diante de tanta opção.

Com este artigo pretendo te conduzir com informações e dicas úteis de segurança para WordPress que lhe ajudarão na análise dos aspectos de segurança de plugins.

Não me refiro à escolha de plugins que implementam regras de segurança na plataforma, mas sim a sugestões que poderão ser aplicadas à plugins de qualquer gênero e te conduzirão no processo seletivo, tendo segurança como ponto focal na escolha.

Oito dicas rápidas para analisar aspectos de segurança de plugins WordPress

Oito dicas rápidas para analisar aspectos de segurança de plugins WordPress.

Tweet

As dicas abaixo conduzirão este artigo e são orientadas para te auxiliar nas análises de segurança de plugins WordPress.

1. Seja seletivo e criterioso com suas escolhas;
2. Mantenha os plugins sempre atualizados;
3. Exclua, ou atualize, os plugins inativos;
4. Exclua plugins com ocorrências no WPScan Vulnerability Database e sem correção;
5. Faça análise regulares com o WP Scan;
6. Plugins premium também podem ter problemas de segurança;
7. Plugins bem implementados cuidam muito bem da tríade: input, output e credential;
8. Fique livre, e bem longe, de plugins mal intensionados.

Como ser seletivo e criterioso ao escolher um plugin WordPress

Com mais de 40 mil opções, sendo que muitos implementam funcionalidades parecidas, é preciso ser seletivo e adotar critérios de seleção de plugins WordPress.

Os plugins gratuitos disponibilizados no diretório oficial da plataforma possuem infomações que são insights para análises dos mais variados critérios de escolha a serem adotados.

Destaco abaixo alguns critérios simples e de fácil análise.

Estatísticas de download versus número de instalações ativas

As estatíticas de download de plugins populares enchem os olhos, mas podem enganar.

O total de instalações ativas é o número mais relevante para você analisar como usuário final. Ele diz, realmente, quantas instalações WordPress estão com o referido plugin ativo, em uso.

O plugin WP-PageNavi, por exemplo, é um sucesso em ambos os cenários. Ainda mais por entregar uma funcionalidade, paginação de contéudo, nativa do WordPress, ou seja, seu uso é totalmente em vão e desnecessário.

São mais de um milhão de sites com o plugin ativo. Um média de mais de um mil downloads por dia e um total geral de mais de seis milhões.

Compatibilidade, suporte, tradução e avaliações de plugins WordPress

Análises de avaliações são interessantes para conhecer a expectativa de uso e experiência dos usuários com o plugin.

As traduções nos demonstram o quanto o plugin é propagado mundo afora. Se o inglês é uma restrição, consultar a disponibilidade de uma tradução para o seu idioma faz toda diferença.

Em questões de segurança de plugins WordPress devemos levar o foco para critérios como compatibilidade de software, suporte e experiência do desenvolvedor.

Se o plugin requer uma versão do WP muito antiga podemos deduzir que ele é simples, pouco inovador ou deseja oferecer o máximo possível de suporte às versões da plataforma.

O perigo, neste ponto, é a falta de evolução e uso das novas funções e classes e, talvez, a permanência de uso de recursos que estão ou ficarão muito em breve obsoletos.

Outro dado importante é a informação de até qual a versão do CMS que o plugin é compatível. Essa versão precisa ser sempre a versão atual do WordPress. Isso demonstra que o plugin é atualizado com frequência e que está de acordo com as novas diretrizes.

A experiência do desenvolvedor pode ser analisada pela quantidade de plugins, com qualidade, disponíveis. Quando digo qualidade me refiro ao total de ativações em uso, avaliações, traduções, chamados de suporte respondidos e compatibilidade com a versão atual do WordPress, por exemplo.

Tipos de suporte

Os chamados de suporte de plugins gratuitos é bastante relativo e sua análise precisa agregar outros fatores.

O desenvolvedor tem outros afazeres para se sustentar financeiramente. Logo, sua dedicação não é total e às vezes nem parcial.

Plugins que fazem uso do modelo freemium costumam ter profissionais dedicados a responder as dúvidas dos usuários que fazem uso da versão gratuita para garantir sempre uma ótima experiência com o produto.

Gratuitos ou pagos (premium)?

Plugins pagos, geralmente chamados de premium, também podem apresentar problemas tanto quanto os gratuitos.

Uma vantagem é seu suporte, que é feito por outro canal onde há profissionais dedicados para o atendimento e solução/orientação dos problemas.

Uma vantagem dos plugins gratuitos é que, quando eles são populares, é fácil conhecer alguém que faz uso e que poderá compartilhar sua experiência de uso.

Além disso, sua página no diretório oficial há informações, como citadas acima, que nos ajudam na análise de sua seleção.

O mais importante de tudo que você precisa considerar e ter em mente ao analisar plugins WordPress é que eles precisam funcionar hoje e no futuro.

Por que devemos manter os plugins sempre atualizados?

Por ser um critério de extrema relevância. Analisar critérios de segurança de plugins WordPress começa com sua própria instalação. É necessário, requerido e preciso manter os componentes do WordPress sempre atualizados.

O WordPress disponibiliza novas versões do seu software a cada três ou quatro meses. Elas contemplam correções de segurança, novas funcionalidades e outras que ficam obsoletas e os plugins precisam acompanhar a evolução.

Se não há atualizações disponíveis para os plugins em uso é um grande sinal de preocupação porque eles não têm evoluido, ficando obsoleto e, provavelmente, vulneráveis.

Por que os plugins inativos também trazem problemas?

Porque seus códigos estão no servidor e disponíveis para serem explorados. Não estarem ativos no WordPress significa apenas que suas funcionalidades não estão em uso e sendo consideradas pelo core da plataforma.

Mesmo os plugins que estão instalados e não ativos precisam ser atualizados. A existência dos seus códigos no servidor, se comprometidos, serão explorados pelos atacantes.

Se o seu uso está descartado em seu horizonte considere a exclusão. A regra é clara: mantenha os plugins, todos, sempre atualizados.

Quando digo todos me refiro aos plugins ativos e desativados.

Tenha o WPScan e o WPScan Vulnerability Database como aliado

Para analisar a segurança de plugins WordPress de forma efetiva é preciso ter grandes aliados. O WPScan é uma ferramenta poderosa e nos ajuda muito nessa tarefa.

Se você é um desenvolvedor ou possui conhecimentos técnicos considere analisar sua instalação WordPress através do WPScan. Ela vasculhará tudo a procura de vulnerabilidades e te entregará um relatório detalhado das atuações a serem feitas para corrigir as brenchas existentes.

Mesmo os não desenvolvedores podem se beneficiar com o WPScan através do WPScan Vulnerability Database. Esse site é um grande banco de dados de ocorrências de segurança em plugins, temas e o próprio core do WordPress.

Sua ferramenta de busca é simples e ajuda qualquer um analisar a segurança de plugins WordPress.

O uso do WPScan e, por conseguinte, o WPScan Vulnerability Database nos garante a escolha de um plugin WordPress sem ocorrências de problemas de segurança.

Mesmo que o plugin tenha alguma ocorrência, é preciso analisar em qual versão aconteceu e procurar por uma nova que tenha corrigido o problema. Caso o problema não tenha sido corrigido, desconsidere o uso.

Se você precisa e deseja ficar ligado em toda ocorrência acrescentada ao banco de dados, cadastre seu e-mail e seja notificado das novas inclusões ao WPScan Vulnerability Database.

Considere a tríade: input, output e credential

Em tradução livre, input significa entrada; output, saída e credential é credencial.

É muito importante que os plugins WordPress tratem muito bem dessa tríade devido à sua grande importância para a segurança.

Input, ou entrada, refere-se a entrada de dados. Ou seja, a captação de dados dos usuários através de uma interface e o salvamento dessas informações no banco de dados do WordPress.

Esses dados, antes de inseridos e salvos, precisam ser tratados para evitar ataques dos mais variados tipos e garantir que somente informações tratadas e seguras serão consideradas.

O WordPress e a linguagem PHP possuem funções específicas para essa trativa.

O output de dados está relacionado à saída ou exibição de dados para os usuários através de uma interface.

Essas informações resgatadas por funções também precisam receber tratamentos antes de agregadas às marcações HTML, sejam como valores de tags ou como valores de atributos de tags.

As funções do WordPress disponibilizadas para a tratativa de output de dados são simples de serem utilizadas e evitam, por exemplo, ataques de XSS (Cross-site scripting).

A última ponta da referida tríade trata da questão das credenciais, ou seja, se o usuário logado no painel do WordPress tem permissões para lidar com as informações em questão.

O fato do usuário estar autenticado não quer dizer que ele pode lidar com todas as informações e recursos disponíveis. É preciso também levar em conta suas capacidades e função.

Fique livre, e muito longe, dos plugins WordPress mal intensionados

Com uma plataforma popular como o WordPress, responsável por mais de 24% da web mundial, é natural que atacantes queiram explorar sua base de usuários de qualquer forma.

Os plugins, por serem largamente utilizados, é uma forma delas.

O conselho mais básico e necessário de ser seguido é fazer uso de plugins baixados somente de fontes seguras.

Posso citar três tipos de fontes seguras, uma delas questionável: o diretório oficial do WordPress.org; o site de empresas que vendem plugins premium; o site de empresas que oferecem plugins para integrar suas soluções ao ecossistema do WordPress.

Esta última eu acho questionável. Se o plugin é gratuito, por que não disponibilizá-lo no diretorio oficial do WordPress.org?

Eu gosto da abordagem da MailChimp nesse sentido, onde ela lista todos os plugins WordPress que se integram à plataforma e redirecionam o usuário para a página do plugin no diretório.

Plugins WordPress mal intensionados podem te afetar de diversas formas, a saber:

• Ter acesso às informações do seu site;
• Ter acesso ao banco de dados;
• Adicionar banners e anúncios publicitários;
• Enviar e-mails em massa através do seu servidor;
• Redirecionar seu site para links de spammers;
• Adicionar links de referências para outros sites sem seu consentimento;
• Derrubar o seu site com o uso massivo de recursos.

E a lista continua.

Como ficar livre dos plugins WordPress mal intensionados

Analisar a segurança de plugins WordPress é uma forma de ficar livre de plugins WordPress mal intensionados que podem atrapalhar o dia-a-dia da operação do seu negócio.

Algumas ferramentas poderão lhe auxiliar nesse processo de ser mais criterioso e garantir que a segurança de plugins WordPress da sua escolha estão bem tratadas.

Algumas ferramentas para análise de segurança de plugins WordPress

• WPScan;
• VirusTotal;
• Sucuri SiteCheck;
• WordPress Exploit Scanner.

O WordPress é uma plataforma segura. Seu universo de plugins que adicionam incríveis funcionalidades e possibilidades de uso é fantástico. Mas é preciso adotar critérios que lhe auxiliem no processo de escolha e tomada de decisão e garanta plugins seguros a serem utilizados.

Quais os critérios que você utiliza para analisar segurança de plugins WordPress?