|
Audio
|
O desenvolvimento web ficou complexo. Devemos lidar com várias tecnologias e novidades que surgem a todo momento. Surge o termo “desenvolvedor web full-stack” e é preciso refletir sobre seu impacto na segurança de dados no WordPress.
A complexidade e infinidade das coisas atribuídas ao pouco tempo de experiência dos profissionais, contribui para distorções diversas e pouca reflexão sobre os impactos.
Para essa análise vamos considerar somente as áreas de front-end e back-end.
O que é um desenvolvedor web full-stack?
Para quem não conhece a terminologia, compreenda-a de forma fácil considerando um profissional generalista, aquele cara que sabe um pouco de tudo.
Esse profissional pode ser extremamente competente dominando várias áreas com sólidos conhecimentos.
Ou aqueles supérfluos, da modinha e que se tornaram full-stack de um ano para outro, ou meses, em função de oportunidades de “carreira”. São exatamente desses que vamos falar.
Full-stack e segurança de dados no WP
Segurança de dados precisa ser levado a sério. O assunto exige uma considerável base de conhecimento e atualizações constantes, uma vez que novos tipos de ataques e ameaças surgem a todo momento.
Desenvolvedores full-stack são sobrecarregados com várias funções e, consequentemente, com inúmeras áreas de conhecimentos também. Algumas delas vão falhar. Tenho percebido que a segurança de dados é uma delas.
Porque esses profissionais estão impactando na segurança de dados
Desenvolvedores front-end assumiram alguns afazeres dos back-end. Já os back-end ganharam atribuições dos SysAdmin. O desafio de se manter atualizado somado aos novos conhecimentos exigidos trazem impactos em alguma área.
A área da segurança não é palpável no primeiro momento. Será sentida após a publicação do projeto em produção e quando os malwares, ataques e códigos maliciosos começarem a aparecer.
Mesmo um site de baixa audiência ou relevância é atacado. Esses ataques, em sua maioria, não são direcionados. São realizados de forma automática por inteligentes e competentes robôs que encontram falhas comuns e que ficaram públicas.
Como os front-end impactam na segurança
Os exemplos mais simples são a codificação de códigos que permitem os ataques do tipo XSS e SQL Injection.
Com o simples uso de algumas funções, de forma errada e sem escapamento, para exibir os dados dinâmicos esses profissionais desconsideram completamente a questão da segurança. Isso não é por incompetência e sim, por falta de domínio do assunto.
Evitar ataques XSS é simples. Mas você precisa conhecer do assunto, saber como funciona e fazer uso das funções nativas do WordPress para evitá-los.
Para os back-end isso é simples, mas os front-end às vezes se enrolam com o uso da segunda função que simplesmente trata os dados e os retornam para serem exibidos de forma segura.
Uma busca no Google para encontrar soluções para os desafios diários é corriqueira. A procura por formas de selecionar alguns tipos de registros no banco de dados também.
No entanto, alguns fazem uso de códigos prontos e sem o devido tratamento para validação e tratamento dos dados. Isso resulta na abertura para os ataques do tipo de SQL Injection, por exemplo.
O problema pode ser evitado com o devido uso de funções nativas do WordPress que geram o mesmo resultado, ou o uso da classe WPDB, padrão da plataforma, para consultas ao banco de dados e a função escape que trata devidamente os dados a serem integrados a query.
Como os back-end impactam na segurança
Além da necessidade de proteger a aplicação como um todo, esses profissionais precisam proteger o servidor e as dezenas de softwares e extensões que o compõe.
Isso significa lidar com o sistema operacional, as bibliotecas, o servidor web, o banco de dados… E a lista continua, dependendo da complexidade do projeto, audiência e relevância.
Com a ascensão do cloud computing isso ficou ainda mais evidente. Uma vez que é necessário instanciar uma máquina por completo, um dos primeiros passos é escolher o sistema operacional e sua distribuição, além de atualizá-lo e instalar os softwares necessários: PHP, MySQL, NGINX, etc.
O grande desafio é que a forma como o servidor está configurado vai impactar diretamente a aplicação em vários aspectos, sendo que um deles é a segurança.
Alguns exemplos
Para citar dois exemplos clássicos: permissão de arquivos e pastas e a tratativas relacionadas ao banco de dados.
A correta permissão para os arquivos e pastas permitirá o devido funcionamento da plataforma como a execução correta dos arquivos e upload seguro de dados. Bem como dificultará a injeção de códigos maliciosos impedindo o upload de scripts e web shell que executam e espalham arquivos por toda a aplicação.
O banco de dados requer ações simples como o uso inteligente do prefixo das tabelas do WordPress, a políticas de controle de acesso, permissões dos usuários a banco de dados, senhas seguras e gestão para monitoramento.
SysAdmin são especialistas nesses quesitos e vários outros. Desenvolvedores back-end até conseguem se dar bem, mas às vezes falham em não considerar a devida distribuição, versão e uso associado, ou seja, alguns softwares se relacionam melhor com o outro. Outros têm especificidades que podem colocar tudo a perder. Uma simples busca no Google, por exemplo, pode trazer várias respostas e nem sempre (ou quase nunca), tratam das inúmeras variáveis a serem consideradas.
Conclusão
Full-stack e segurança de dados no WordPress precisa ser repensado. Essa reflexão deve ser conjunta entre empresas e os profissionais envolvidos.
As empresas precisam ter consciência que exigir múltiplos conhecimentos e com profundidade dos profissionais exige tempo e dedicação. Isso não se resolve da noite para o dia ou com o treinamento de algumas horas.
Os profissionais precisam reconhecer suas limitações e, principalmente, dedicar-se mais aos seus potenciais. Quando fazemos algo que gostamos ficamos mais entusiasmados, estudamos mais e os resultados acontecem naturalmente.
Reconhecer o que não se sabe, solicitar ajuda dos mais experientes e estudar é de extrema importância. Adotar processos de revisão ajuda diminuir os possíveis dados na segurança de dados.
Como você encara a questão full-stack?
