Como evitar ser um dos “73%” de sites WordPress vulnerável a ataques

O WordPress 70% Uma recente pesquisa concluiu que 73% dos 40 mil sites mais populares que usam o software WordPress estão vulneráveis ​​a ataques.

A pesquisa, realizada por pesquisadores vulnerabilidade EnableSecurity e relatado por WordPress segurança roupa WP WhiteSecurity, foi realizado entre 12 setembro e 15 de setembro logo após o lançamento do WordPress 3.6.1 Manutenção e lançamento de segurança.

WordPress é o blog mais popular e Content Management System (CMS) no mundo e, de acordo com o fundador do WordPress Matt Mullenweg, ele alimenta um em cada cinco de todos os sites do mundo.

Como acontece com qualquer investigação deste tipo, devemos aplicar uma grande pitada de sal.

Na verdade, neste caso, não precisa fornecer nosso próprio sal porque a pesquisa realmente vem graças auto-salgados para este cavaleiro hilariante no final do artigo:

As ferramentas utilizadas para esta pesquisa ainda estão sendo desenvolvidos, portanto, algumas estatísticas podem não ser precisos.

Você foi avisado.

Então, se os números pode estar errado por que eu estou incomodando a reproduzi-los aqui? Porque (na minha opinião) são provavelmente verdadeiras (bem verdade-ish) e até mesmo se eles não estão ainda destacar uma questão de segurança importante, que não é diminuído nem um pouco pela sua superficialidade.

Enquanto nós vamos para isso com os nossos olhos abertos nós vamos ficar bem.

A pesquisa não fez mais do que o previsto para descobrir quais versões do CMS populares estão em uso pela top 1.000.000 sites.

Este foco singular é por uma boa razão: a primeira regra de segurança WordPress é sempre correr a última versão do WordPress.

Se você não estiver executando a versão mais recente do WordPress, então as chances são que você está executando uma versão com várias vulnerabilidades conhecidas – os erros que os criminosos podem usar para ganhar uma posição no sistema.

Varredura de EnableSecurity de de Alexa Top 1.000.000 descobriu que 41.106 sites estavam funcionando WordPress, um pouco mais de 4%.

Eles, então, determinou que os sites de pelo menos 30.823 foram executando versões do WordPress que têm vulnerabilidades conhecidas. De tudo isso, concluiu que

73,2% das instalações WordPress mais populares são vulneráveis ​​às vulnerabilidades que podem ser detectadas usando ferramentas automatizadas livres.

Adicione seu sal agora.

Mesmo se tomarmos como li que 73% dos sites estão executando versões vulneráveis ​​do WordPress ainda não podemos concluir que 73% são de fato vulnerável. Existem estratégias comuns de segurança que os pesquisadores não testam para, não menos importante, usando um Web Application Firewall (WAF), que pode colocar-se um escudo protetor na frente de sites vulneráveis.

By the way, a primeira regra de segurança WordPress, sempre correr a última versão do WordPress, é válido mesmo para sites rodando atrás de um WAF. Eles não são mutuamente exclusivas e devem ser consideradas como partes separadas de uma estratégia de defesa em profundidade .

Além de pular sobre razões pelas quais a 73% pode ser um pouco sobre o lado alto o estudo também salta acrobaticamente passado um conjunto totalmente diferente de razões pelas quais ele pode ser um pouco do lado de baixo.

O alcance limitado da pesquisa significou que não conta para outras formas de ataques automatizados contra instalações WordPress como alvo senhas fracas ou falhas em plugins populares .

Como diáfana como a precisão do estudo pode ser, a orientação geral é correto e que contém uma mensagem útil, os usuários do WordPress precisa ser diligente sobre a segurança, porque eles estão usando um software que é popular o suficiente para ser de interesse para os criminosos que realizam ataques automatizados em larga escala .

10 maneiras de manter o seu site WordPress seguro

Se você estiver executando um site que usa WordPress aqui estão 10 sugestões para ajudá-lo a evitar terminando no 70% (ou qualquer grande número é) dos locais vulneráveis.

  • Sempre executar a versão mais recente do WordPress
  • Sempre execute as mais recentes versões de seus plugins e temas
  • Seja conservador em sua seleção de plugins e temas
  • Excluir o usuário admin e remover plugins não utilizados, os temas e os utilizadores
  • Certifique-se que cada usuário tem sua própria senha forte
  • Ativar autenticação de dois fatores para todos os usuários
  • Forçar os logins e acesso de administrador para usar HTTPS
  • Gerar chaves secretas complexas para o seu arquivo wp-config.php
  • Considere hospedagem com uma empresa dedicada WordPress hosting
  • Coloque um Web Application Firewall na frente de seu website

Para saber mais sobre o assunto de patching WordPress tem um ouvir Sophos Segurança Chet chat 117 , a última parcela em 15 minutos a nossa série de podcasts regular.