Como analisar aspectos de segurança de plugins WordPress

A quantidade de plugins WordPress disponíveis cresce a cada dia. Se faz necessário saber analisar os aspectos de segurança de plugins WordPress.

Seus amigos merecem saber desse conteúdo?

Plugins são softwares que complementam o core do WordPress para as mais variadas funcionalidades. O ecossistema de complementos da plataforma é extenso e se faz necessário saber analisar os aspectos de segurança de plugins WordPress e assim fazer escolhas boas e seguras.

Diretório de plugins do WordPress.org
Diretório de plugins do WordPress.org

No momento em que escrevo este artigo estão disponíveis mais de 40 mil plugins que somados foram baixados mais de um bilhão de vezes. Com esse volume o desafio vem sendo cada vez maior para o time de segurança responsável pelas análises e principalmente dos usuários que não sabem como fazer a melhor escolha diante de tanta opção.

Com este artigo pretendo te conduzir com informações e dicas úteis de segurança para WordPress que lhe ajudarão na análise dos aspectos de segurança em plugins. Não me refiro a escolha de plugins que implementam regras de segurança na plataforma, mas sim a sugestões que poderão ser aplicadas a plugins de qualquer gênero e te conduzirá no processo seletivo tendo segurança como ponto focal na escolha.

Oito dicas rápidas para analisar aspectos de segurança de plugins WordPress

As dicas abaixo conduzirão este artigo e são orientadas para te auxiliar nas análises de segurança de plugins WordPress.

  1. Seja seletivo e criterioso com suas escolhas;
  2. Mantenha os plugins sempre atualizados;
  3. Exclua, ou atualize, os plugins inativos;
  4. Exclua plugins com ocorrências no WPScan Vulnerability Database, e sem correção;
  5. Faça análise regulares com o WP Scan;
  6. Plugins premium também podem ter problemas de segurança;
  7. Plugins bem implementados cuidam muito bem da tríade: input, output e credential;
  8. Fique livre e muito longe dos plugins mal intensionados.

Como ser seletivo e criterioso ao escolher um plugin WordPress

Com mais de 40 mil opção, e muitos dos quais implementam funcionalidades parecidas é preciso ser seletivo e adotar criterios de seleção de plugins WordPress. Há critérios simples e de fácil análise que destaco abaixo.

Estatísticas de download versus número de instalações ativas

 

Total de plugins ativos do WP-Pagenavi
Total de plugins ativos do WP-Pagenavi

As estatíticas de download de plugins populares enchem os olhos, mas podem enganar. O total de instalações ativas é um número mais relevante para você analisar como usuário final. Elas realmente dizem quantas instalações WordPress estão com o referido plugin ativo, em uso. O plugin WP-PageNavi, por exemplo, é um sucesso em ambos os cenários. Ainda mais por entregar uma funcionalidade, paginação de contéudo, nativa do WordPress, ou seja, seu uso é totalmente em vão e desnecessário.

São mais de um milhão de sites com o plugin ativo. Um média de mais de um mil downloads por dia e um total geral de mais de seis milhões.

Estatísticas de downloads do plugin WP-Pagenavi
Estatísticas de downloads do plugin WP-Pagenavi

Compatibilidade, suporte, tradução e avaliações de plugins WordPress

Os plugins gratuitos disponibilizados no diretório oficial da plataforma possuem infomações que são insights para análises dos mais variados critérios de escolha a serem adotados.

Análises de avaliações são interessantes para analisar a expectativa de uso e experiência dos usuários com o plugin. Já as traduções nos demonstram o quanto o plugin é propagado mundo afora. Se o inglês é uma restrição, consultar a disponibilidade de uma tradução para o seu idioma faz toda diferença.

Em questões de segurança de plugins WordPress devemos levar o foco para critérios como compatibilidade de software, suporte e experiência do desenvolvedor.

Se o plugin requer uma versão do WP muito antiga podemos deduzir que ele é simples, pouco inovador ou deseja oferecer o máximo possível de suporte as versões da plataforma. O perigo neste ponto é a falta de evolução e uso das novas funções e classes e talvez a permanência de uso de recursos que estão ou ficarão muito em breve obsoletos. Outro dado importante é a informação de até qual a versão do CMS que o plugin é compatível. Essa versão precisa ser sempre a versão atual do WordPress, isso demonstra que o plugin é atualizado com frequência e que em insuma está de acordo com as novas diretrizes.

A experiência do desenvolvedor pode ser analisada pela quantidade de plugins, com qualidade, disponíveis. Quando digo qualidade me refiro ao total de ativações em uso, avaliações, traduções, chamados de suporte respondidos, compatibilidade com a versão atual do WordPress, por exemplo.

Os chamados de suporte de plugins gratuitos é bastante relativo e sua análise precisa agregar outros fatores. O desenvolvedor tem outros afazeres para se sustentar financeiramente, logo sua dedicação não é total, e às vezes nem parcial. Plugins que fazem uso do modelo freemium, costumam ter profissionais dedicados a responder as dúvidas dos usuários que fazem uso da versão gratuita para garantir sempre uma ótima experiência com o produto.

Gratuitos ou pagos (premiums)?

Plugins pagos, geralmente chamados de premiums, também podem apresentar problemas tanto quanto os gratuitos. Uma vantagem é seu suporte que é feito por outro canal onde há profissionais dedicados para o atendimento e solução/orientação dos problemas.

Uma vantagem dos plugins gratuitos é quando eles são populares é fácil conhecer alguém que faz uso e que poderá compartilhar com sua experiência de uso. Além disso sua página no diretório oficial há informações como citadas acima que nos ajudam na análise de sua seleção.

O que é mais importante de tudo que você precisa considerar e ter em mente ao analisar plugins WordPress é que eles precisam funcionar hoje e no futuro.

Por que devemos manter os plugins sempre atualizados?

Por ser um critério de extrema relevância. Analisar critérios de segurança de plugins WordPress começa com sua própria instalação. É necessário, requerido e preciso manter os componentes do WordPress sempre atualizados.

O WordPress disponibiliza novas versões do seu software a cada três ou quatro meses. Elas contemplam correções de segurança, novas funcionalidades, funções novas e outras que ficam obsoletas e os plugins precisam acompanhar essa evolução. Se não há atualizações disponíveis para os plugins em uso, é um grande sinal de preocupação por que eles não tem evoluido, ficando obsoleto e bem provável que vulneráveis.

Por que os plugins inativos também trazem problemas?

Por seus códigos estão no servidor e disponíveis para serem explorados. Não estarem tivos no WordPress significa apenas que suas funcionalidades não estão em uso e sendo consideradas pelo core da plataforma.

Mesmo os plugins que estão instalados e não ativos precisam ser atualizados. A existência dos seus códigos no servidor, e se comprometidos, serão explorados pelos atacantes. Se o seu uso está descartado em seu horizonte considere a exclusão. A regra é clara: mantenha os plugins, todos, sempre atualizados. Quando digo todos me refiro aos plugins ativos e desativados.

Tenha o WPScan e o WPScan Vulnerability Database como aliado

WPScan Vulnerability Database como aliado para análise de segurança de plugins WordPress
WPScan Vulnerability Database como aliado para análise de segurança de plugins WordPress

Para analisar a segurança de plugins WordPress de forma efetiva é preciso ter grandes aliados. O WPScan é uma ferramenta poderosa e nos ajuda muito nessa tarefa.

Se você é um desenvolvedor ou possui conhecimentos técnicos considere analisar sua instalação WordPress através do WPScan. Ela vasculhará tudo a procura de vulnerabilidades e te entregará um relatório detalhado das atuações a serem feitas para corrigir as brenchas existentes.

Mesmo os não desenvolvedores podem se beneficiar com o WPScan através do WPScan Vulnerability Database. Esse site é um grande banco de dados de ocorrências de segurança em plugins, temas e o próprio core do WordPress. Sua ferramenta de busca é simples e ajuda a qualquer um analisar a segurança de plugins WordPress.

O uso do WPScan e por conseguinte o WPScan Vulnerability Database nos garante a escolha de um plugin WordPress sem ocorrências de problemas de segurança. Mesmo que o plugin tenha alguma ocorrência é preciso analisar em qual versão aconteceu e procurar por uma nova que tenha corrigido o problema. Caso o problema não tenha sido corrigido, desconsidere o uso.

Se você precisa e deseja ficar ligado em toda ocorrência acrescentada ao banco de dados cadastre seu e-mail e seja notificado das novas inclusões ao WPScan Vulnerability Database.

Considere a tríade: input, output e credential

Em tradução livre input significa entrada; output saída e credential é credencial. É muito importante que os plugins WordPress tratem muito bem dessa tríade devido sua grande importância para a segurança.

Input, ou entrada, refere-se a entrada de dados. Ou seja, a captação de dados dos usuários através de uma interface e o salvamento dessas informações no banco de dados do WordPress. Esses dados, antes de inseridos e salvos, precisam ser tratados para evitar ataques dos mais variados tipos e garantir que somente informações tratadas e seguras serão consideradas. O WordPress e a linguagem PHP possuem funções específicas para essa trativa.

O output de dados está relacionado a saída ou exibição de dados para os usuários através de uma interface. Essas informações resgatadas por funções também precisam receber tratamentos antes de agregadas as marcações HTML sejam como valores de tags ou como valores de atributos de tags. As funções do WordPress disponibilizadas para a tratativa de output de dados são simples de serem utilizadas e evitam, por exemplo, ataques de XSS (Cross-site scripting).

A última ponta da referida tríade trata da questão das credenciais, ou seja, se o usuário logado no painel do WordPress tem permissões para lidar com as informações em questão. O fato do usuário estar autenticado não quer dizer que ele pode lidar com todas as informações e recursos disponíveis, é preciso também levar em conta suas capacidades e função.

Fique livre, e muito longe, dos plugins WordPress mal intensionados

Como uma plataforma popular como o WordPress responsável por mais de 24% da web mundial é natural que atacantes que queiram explorar sua base de usuários de qualquer forma. Os plugins por serem largamente utilizados é uma forma delas.

O conselho mais básico e necessário de ser seguido é fazer uso de plugins baixados somente de fontes seguras. Posso citar três tipos de fontes seguras, uma delas questionável: o diretório oficial do WordPress.org; o site de empresas que vendem plugins premium; o site de empresas que oferecem plugins para integrar suas soluções ao ecossistema do WordPress.

Essa última eu acho questionável. Se o plugin é gratuito, por que não disponibiliza-lo no diretorio oficial do WordPress.org? Eu gosto da abordagem da MailChimp nesse sentido onde ela lista todos os plugins WordPress que se integram a sua plataforma e redirecionam o usuário para a página do plugin no diretório.

Plugins WordPress mal intensionados podem te after de diversas formas, a saber:

  • Ter acesso as informações do seu site;
  • Ter acesso ao banco de dados;
  • Adicionar banners e anúncios publicitários;
  • Enviar e-mails em massa através do seu servidor;
  • Redirecionar seu site para links de spammers;
  • Adicionar links de referências para outros sites sem seu consentimento;
  • Derrubar o seu site com o uso massivo de recursos;
  • E a lista continua.

Como ficar livre dos plugins WordPress mal intensionados

Analisar a segurança de plugins WordPress é uma forma de ficar livre de plugins WordPress mal intensionados que podem atrapalhar o dia a dia da operação do seu negócio. Algumas ferramentas poderão lhe auxiliar nesse processo de ser mais criterioso e garantir que a segurança de plugins WordPress da sua escolha estão bem tratadas.

Algumas ferramentas para análise de segurança de plugins WordPress

O WordPress é uma plataforma segura. Seu universo de plugins que adicionam incríveis funcionalidades e possibilidades de uso é fantástico. Mas é preciso adotar critérios que lhe auxiliem no processo de escolha e tomada de decisão e garanta plugins seguros a serem utilizados.

Quais os critérios que você utiliza para analisar segurança de plugins WordPress?

Opa! Não conseguimos encontrar o seu formulário.