Como um dos projetos de software de código aberto de maior perfil do mundo, o WordPress tem sido um alvo natural para explorações de segurança em andamento desde que chegou à cena.
Com a base de usuários continuando a crescer e sua posição como a consolidação CMS mais popular do mundo, é uma aposta segura, isso não vai mudar em breve.
O surgimento de vulnerabilidades de segurança significativas neste ano voltou a lembrar a necessidade de vigilância contínua e a importância de manter os sites atualizados.
Neste artigo, abordaremos uma seleção das principais façanhas de segurança do WordPress até o momento e o que elas significaram para usuários como você e o futuro do WordPress.
Antes de aprofundar o passado, vamos preencher alguns espaços em branco sobre o assunto da segurança do WordPress em geral.
Alguns antecedentes sobre a segurança do WordPress
A segurança esteve no radar da comunidade WordPress desde o início por uma boa razão e é uma parte crítica do projeto como um todo.
Uma medida de quão alta a segurança da fila de prioridade pode ser vista indo para a página sobre o WordPress.org, onde a seção de segurança é exibida de forma proeminente.
O Livro Branco de Segurança WordPress
Se você ainda não leu o documento de segurança da WordPress , vale a pena demorar alguns minutos para passar por isso.
Ele fornece uma visão geral sucinta da abordagem do projeto em segurança e cobre uma série de pontos úteis, incluindo o seguinte:
- Versão de numeração e versões de segurança: lançamentos menores são reservados para abordar vulnerabilidades de segurança como evidenciado na recente versão de segurança 4.1.2 .
- Organização de segurança interna do WordPress: a equipe de segurança do WordPress contém cerca de 25 pessoas, com o Automattic contribuindo com metade dos recursos. Eles têm um sólido histórico de trabalhar com outros líderes da indústria em vulnerabilidades comuns e estão empenhados em uma política de abertura.
- Os tipos de ameaças mais comuns: o documento também lista uma visão geral útil das ameaças de segurança mais comuns, conforme definido pelo Open Web Application Security Project . Isso inclui vetores de ataque comuns, como injeção SQL e scripts entre sites .
- O papel dos plugins e dos temas: com aproximadamente 30.000 plugins e mais de 2.000 temas disponíveis apenas no WordPress.org, é óbvio que eles representam, de longe, a rota de entrada mais comumente vulnerável.
- A importância da hospedagem: as melhores precauções de segurança no mundo no nível local do WordPress significarão pouco se você encontrar seu ambiente hospedeiro comprometido.
O Arquivo de Segurança do WordPress
A maneira mais rápida de obter uma visão geral de quanta atividade houve na frente de segurança do WordPress ao longo dos anos é uma visita rápida ao Arquivo de Segurança do WordPress :
Lá você encontrará detalhes de todos os lançamentos de segurança até agora convenientemente reunidos em um só lugar.
Como pode ser visto a partir do registro de entrada, as questões de segurança tendem a surgir em flurries e entraremos nos detalhes de alguns destes em breve.
Mantenha-se atualizado
Como Matt Mullenweg nunca deixa de apontar, a maior melhoria de segurança que você pode fazer no seu site é garantir que ele esteja constantemente atualizado .
Os ataques em curso são, infelizmente, um fato da vida on-line, mas a comunidade tem um excelente histórico de abordá-los de forma rápida e transparente.
Passemos para alguns dos períodos notáveis onde o nível de ameaça foi particularmente alto e eles foram forçados a fazer exatamente isso.
2007/2008 – Early Attacks
A crescente popularidade do WordPress como um CMS à medida que se aproximou do seu aniversário de cinco anos viu o nível de ataques aumentar consideravelmente.
Os hackers naturalmente se concentraram em frutas de baixa suspensão e uma onda de explorações voltadas para blogs de SEO e Adsense surgiu ao longo de 2007 e 2008 :
Para piorar as coisas, os servidores próprios do WordPress foram comprometidos durante esse período, levando à inclusão de um potencial backdoor no WordPress 2.1.1 em 2007.
O problema foi rapidamente abordado na versão de segurança 2.1.2 , mas fez pouco para a reputação inicial do software.
Em meados de 2007, o tema da segurança era cada vez mais um foco de preocupação entre os líderes comunitários , com um dos maiores efeitos a longo prazo desse foco renovado sendo a eventual introdução da atualização de um clique no WordPress 2.7 (Coltrane) .
O processo de atualização manual anterior havia sido marcado como um grande obstáculo para que os usuários atualizassem regularmente, uma situação que aumentava maciçamente o número de sites ao vivo vulneráveis ao ataque.
2009 – Uma ênfase renovada na segurança
2009 viu uma nova onda de atividade de julho a outubro, com uma série de patches de segurança sendo lançados, cobrindo as versões do WordPress 2.8.1 até 2.8.6.
A situação iniciou com a descoberta por CoreLabs de uma vulnerabilidade grave que afeta as versões 2.8 e abaixo. Isso foi resolvido com o lançamento do 2.8.1, mas também marcou o início de uma série de versões que abordam o endurecimento geral do WordPress ou a fixação de mais vulnerabilidades agudas.
Esta sequência chegou ao fim com o lançamento de Thanksgiving 2009 de 2.8.6 .
Embora o efeito a longo prazo de apertar a segurança geral do WordPress tenha sido incrivelmente positivo, muitos na comunidade vão lembrar-se de um tempo sombrio para a plataforma, quando parecia que uma atualização era necessária a cada duas semanas.
Há uma excelente redação deste período de tempo por Jason Cosper no Torque , colocando toda a série de incidentes em perspectiva e apontando o ponto de mudança para a plataforma que representou.
2011 – Problemas com imagens
O ano de 2011 foi principalmente notável pela chegada em grande escala da vulnerabilidade TimThumb , pelo que o popular utilitário de redimensionamento de imagem poderia ser usado para carregar e executar código PHP arbitrário em um servidor.
Embora o problema original tenha sido rapidamente corrigido e um trabalho adicional significativo foi feito na utilidade nos anos subsequentes, TimThumb permaneceu um alvo para ataques em curso até 2014.
