Por que plugins WordPress extintos representam uma ameaça e como proteger seu site

Vamos esclarecer uma coisa imediatamente: o WordPress como um CMS recém-instalado não é particularmente vulnerável e continua sendo uma opção forte se você deseja criar um site seguro. No entanto, devido à popularidade do WordPress, muitas vezes é um alvo para hackers que buscam acesso a sites populares. O fato de que os hacks são bastante raros é uma prova do trabalho dos desenvolvedores e da comunidade WordPress.

O problema que muitas vezes apresenta vulnerabilidade em uma instalação do WordPress é o uso indevido de plugins: em particular, o uso de plugins que há muito deixaram de ser atualizados. Por que esses plugins colocam seu site em perigo e como você pode se proteger contra isso? Neste blog vamos tentar esclarecer isso e passar algumas dicas.

Por que plugins desatualizados são perigosos

Cada plug-in que você adicionar ao seu site WordPress (mesmo que seja um plug-in projetado para melhorar a segurança) adicionará tecnicamente um ponto de vulnerabilidade. É um conceito simples: código adicional de uma fonte de terceiros (mesmo uma confiável) pode potencialmente deixar todo o seu sistema ainda mais exposto. Os padrões de segurança modernos são bastante altos, com sites obrigados a manter os dados do usuário bem protegidos enquanto bloqueiam transações por meio de padrões como PCI . Apenas um elo fraco pode quebrar a corrente e causar danos incalculáveis ​​ao seu site, negócios e reputação.

Na maioria das vezes, um plug-in adicionado não é um problema porque possui suas próprias atualizações de segurança, assim como o WordPress e o desenvolvedor criará um patch logo após a descoberta de um problema. No entanto, isso nem sempre é o caso. Quando um plugin do WordPress é abandonado, a última versão que foi atualizada fica cada vez mais desatualizada e permanece instalada em muitos sistemas. Este plugin pode até permanecer disponível para download no WP.org até que o desenvolvedor se lembre de colocá-lo offline.

Felizmente, é razoavelmente simples resolver esse problema: basta encontrar o plug-in e desativá-lo ou desinstalá-lo . Normalmente, recomendamos desinstalar o plug-in, em vez de desativá-lo, a menos que você tenha boas razões para pensar que ele pode ser atualizado em algum momento no futuro próximo. Você também precisará ter cuidado sobre como o plug-in desatualizado interage com outros plug-ins e seu site, pois podem surgir problemas após a exclusão de um plug-in. Por exemplo, se você excluir um plug-in que limita a quantidade de tentativas de senha que um usuário pode fazer, isso pode causar possíveis problemas de segurança e você precisará encontrar um substituto adequado, se necessário.

Como substituir a funcionalidade necessária

Se você removeu um plugin desatualizado, mas acha que ele desempenhou um papel importante na operação diária do seu site e não consegue encontrar nada semelhante no mercado. O que você deveria fazer? O WordPress oferece a liberdade de obter plug-ins de várias fontes (não apenas das listagens do WP.org), mas isso pode colocá-lo em uma posição potencialmente precária ao usar esses plug-ins.

Para a maioria das pessoas, principalmente aquelas que administram seus negócios online, as restrições do modelo SaaS moderno são reconfortantes. Por exemplo, o uso de um CMS hospedado tornou-se muito popular para sites de comércio eletrônico, pois oferece uma boa combinação de opções de personalização e segurança garantida. Embora, em princípio, você possa fazer mais com o WordPress, ter tantas opções diferentes pode ser confuso.

Caso você se encontre na posição improvável em que sente que é necessário excluir um plug-in e não consegue encontrar um substituto viável para preencher essa lacuna, você tem duas opções realistas para resolvê-lo. Contrate um desenvolvedor WordPress para programar um substituto ou tente reproduzir a funcionalidade usando sistemas existentes (ferramentas como Zapier e IFTTT podem ser usadas para obter uma automação notável se você conseguir se familiarizar com eles).

Escolhendo seus plugins com cuidado

A importância da experiência do desenvolvedor significa que nem todos os plugins são criados iguais. A experiência do desenvolvedor, a reputação e a confiabilidade geral são apenas alguns dos fatores que fazem a diferença entre um plugin criado por um desenvolvedor conhecido com uma política de monetização sólida . Embora você possa não gostar de gastar dinheiro em plugins, os pagamentos mantêm os desenvolvedores ativos e permitem que eles atualizem continuamente seus softwares. Isso é em comparação com outros plugins que você pode estar usando, que foram feitos por um hobby, com pouca intenção de mantê-lo.

A maneira mais sensata de proceder é considerar cuidadosamente o desenvolvedor de um plugin antes de instalá-lo e começar a confiar nele. Certifique-se de verificar seus comentários. Pesquise o histórico deles quando se trata de atualizar valor e consistência. Eles têm um blog que você pode seguir? Se você ficar com os desenvolvedores que estão lucrando com o trabalho deles, pode ter certeza de que eles continuarão atualizando e mantendo o plug-in, o que ajudará a diminuir a possibilidade de seu site ser invadido por um plug-in desatualizado.

Uma das melhores maneiras de garantir que seus plugins permaneçam atualizados é usar o UpdraftCentral . Este poderoso controle remoto para WordPress não só permite que você gerencie e atualize centralmente seus temas, plugins e núcleo em todo o seu site com apenas um clique, mas também faça backup e controle de todos os seus sites nos quais o UpdraftPlus está instalado a partir de um local central no Nuvem. Se você estiver muito ocupado ou tiver muitos sites para atualizar de forma confiável, também poderá usar o Easy Updates Manager . Este serviço mantém automaticamente os sites atualizados e livres de bugs.

Como proteger seu site

Mesmo se você escolher seus plugins com cuidado, fique de olho em plugins desatualizados que não foram atualizados há algum tempo e aja para removê-los, se possível, quando você os identificar. No entanto, sempre haverá algum perigo potencial invisível, pois um desenvolvedor pode parar de se esforçar ao máximo para atualizar seus plugins, o que pode levar a vulnerabilidades sem correção, apesar das atualizações serem lançadas.

Devido a esses possíveis problemas de segurança, você precisa fazer mais para manter seu site seguro. Uma das melhores maneiras de fazer isso é fazer backup de seu site regularmente usando o UpdraftPlus . Certifique-se de sempre criar um backup antes de instalar ou atualizar um plug-in e agendar novos backups regularmente para se defender contra quaisquer problemas imprevistos. Se algo der errado por causa de um plugin vulnerável, você pode usar o UpdraftPlus para reverter para um backup existente, quando você pode remover o plugin ofensivo e continuar normalmente.

Em resumo, plugins WordPress extintos são uma ameaça porque podem permitir que vulnerabilidades se infiltrem em seu site WordPress seguro. Para se manter seguro, ser seletivo, ficar em guarda, agir quando necessário e manter o backup do seu site com o UpdraftPlus .

Leis de Rodney

O post Por que os plugins WordPress extintos representam uma ameaça e como proteger seu site apareceu primeiro no UpdraftPlus. UpdraftPlus – Plugin de backup, restauração e migração para WordPress.