Ultimamente tenho visto vários relatos e tive algumas experiências que poderiam fazer qualquer pessoa se perguntar se o WordPress é seguro. Será que é realmente uma ferramenta para criação de sites segura? É isto que pretendo analisar junto com você neste post.
Vi alguns artigos que falavam sobre algumas vulnerabilidade que permitiram milhões – eu disse milhões – de sites WordPress serem alvos de Hackers. Seriam realmente problemas de segurança do WordPress ou dos CMSs populares também? Para você ter ideia de seriedade da coisa, até o FBI publicou alguns relatórios sobre os problemas de segurança. Então, o WordPress é seguro? É o que vamos analisar.
WordPress é Seguro nas duas versões?
Temos que levar em considerações algumas coisas. Primeiro, que no caso do WordPress temos duas variações: WordPress.com e WordPress.org. O WordPress.com é mantido pela Automattic, e oferecido gratuitamente desde que não faça upgrade para planos pagos. O WordPress.org, é a versão open-source do software que você pode baixar e instalar, como milhões de pessoas fazem.
Eu já falei aqui algumas vezes sobre a diferença entre o WordPress.com e WordPress.org. No entanto, o que quero destacar é que a versão gratuita – WordPress.com – é um ecossistema onde há limitações, especialmente em se tratando de plugins e temas. Enquanto isto é uma das principais desvantagens, é o que torna esta versão mais segura, já que baixando o código-aberto do WordPress na versão livre, você pode fazer qualquer coisa, incluindo instalar plugins e temas inseguros e executar scripts maliciosos.
Obviamente que o software WordPress como um todo possui vulnerabilidades, brechas que se aplicam tanto na versão gratuita, quanto na livre. Mas, você precisa entender que: 1) Não existe software baseado na web totalmente seguro, especialmente em se tratando de open-source e CMS; 2) Quanto mais pessoas utilizam, mais aquela ferramenta é explorada por hackers.
Dito isto, vamos analisar alguns fatores que podem determinar se WordPress é seguro e por que há tantos ataques.
WordPress é o CMS mais popular
Atualmente, WordPress é usado por 58.6% de todos os sites que utilizam CMS e 27.4% de todos os sites existentes. Isto é realmente incrível! Mas, toda esta popularidade o torna alvo de muitos ataques, é por isso que você pode estar ouvindo muitos relatos sobres ataques.
Imagine uma ferramenta que é utilizada por 1000 pessoas e 200 sofrem ataques. Agora imagine outra ferramenta utilizada por 1 milhão de pessoas e 2000 sofrendo ataques. Provavelmente você ouvirá mais sobre a segunda, já que, numericamente, há maior quantidade de ataques, no entanto, a segunda tem 10 vezes menos ataques que a primeira. Entende o que quero dizer?
WordPress é livre
Esta outra vantagem também pode definir se o WordPress é seguro para as pessoas ou não – WordPress é livre.
Por quê? WordPress é composto basicamente de três partes: Core que é o código-aberto do software, temas e plugins. Os temas para WordPress definem a aparência que seu site terá. Já os plugins, são capazes de estender suas funcionalidades.
O core é mantido por uma comunidade vibrante, inteligente, que tem feito um trabalho incrível no desenvolvimento do WordPress. No entanto, os plugins e temas são desenvolvidos por qualquer um, são muitos desenvolvedores, alguns confiáveis, outros nem tanto.
Se você quer comprar um tema, recomendo dois principais sites: Themeforest e ElegantThemes. E se quiser comprar plugins, recomendo Codecanyon. Para os gratuitos, utilize sempre o diretório oficial do WordPress.
Uma boa comparação seria sobre os Apps que você instala no seu Smartphone. Você tem alguns instalados aí, certo? Então, provavelmente você tenha baixado-os do Google ou da Apple – a grande maioria. Agora, será que só por que baixou do Google ou da Apple estes Apps são seguros e à prova de falhas? Claro que não. Você também não poderia culpar o Google e nem a Apple, já que são desenvolvedores independentes publicando seus App lá.
O conceito é o mesmo, você não pode dizer que o WordPress não é seguro, porque instalou temas e plugins que abriram brechas, especialmente se você baixou de um site qualquer, pior ainda se for do tipo NULLED.
Assim como nas lojas de Apps que você conhece, os temas e plugins disponíveis no diretório oficial do WordPress passam por um processo de validação e dificilmente oferecerão riscos. Mas, há muitas fontes disponíveis para você baixar. No caso dos NULLEDs, geralmente são temas e plugins premium (pago) que hackers disponibilizam “gratuitamente”, mas colocando malwares e outras porcarias prejudiciais a integridade da segurança do seu site.
Isto tudo torna o assunto sobre a segurando do WordPress complexo demais. Mas posso garantir que o WordPress é seguro, e você precisa ter a atenção devida a este assunto. Aqui vão mais algumas dicas…
Como Garantir a Segurança
A fator-chave no caso da segurança, geralmente está relacionado com a forma que você gerencia seu site. E, se você não gerencia seu site, a situação pode ser pior ainda. Por exemplo, se você ignora as atualizações e backups, você está abrindo as portas e convidando os hackers. Aqui estão algumas considerações sobre a segurança do WordPress, direto do site oficial.
WordPress é seguro, mas precisa ser gerenciado de forma consistente. WordPress é atualizado frequentemente, corrigindo erros e eliminando as vulnerabilidades encontradas. Mas, se você não é proativo sobre isso, está colocando seu site em risco.
Para facilitar seu lado, é possível permitir atualizações automáticas com simples configurações, seja do Core do WordPress ou até dos plugins e temas. Em alguns casos, como os recursos premium, você precisa ter chaves para que eles atualizem automaticamente, mas outros precisam ser atualizados manualmente mesmo.
Minha recomendação é configurar um plugin de backups automáticos e deixar tudo no piloto automático – atualizações automáticas. Um destes plugins incríveis é o WordPress Backup & Clone Master. Este plugin é um solução tudo-em-um (AIO) para backup, restauração, clonagem e migração do WordPress. Além disso, você gerencia todos os processos de forma segura, fácil e intuitiva, de forma programada (agendamento) ou sob demanda com poucos cliques.
Acho que a principal medida de segurança sempre serão os backups. Porque por mais que você mantenha tudo atualizado e ainda execute as principais medidas de segurança, ainda assim seu site pode ser hackeado. Nestes casos, um plugin como o WordPress Backup & Clone Master pode salvar sua pele, restaurando a última versão “limpa” do seu site.
Outra questão aqui é que podem ocorrer incompatibilidades na atualização. Por exemplo, seu WordPress é atualizado, mas a versão de determinado plugin não é compatível. Neste caso, seu site poderia quebrar – gerar a famosa “tela branca da morte” – ou gerar erros de codificação. Assim, você teria como principal recurso restaurar um backup anterior a atualização.
Se você tem muitos sites WordPress para gerenciar, pode utilizar algumas das ferramentas online disponíveis. A grande vantagem destas ferramentas é que permitem a atualização remota, assim, com poucos cliques você é capaz de deixar tudo em dia. As principais ferramentas que recomendo são a ManageWP e a WPRemote.
Resumindo… Você pode confiar no WordPress?
O WordPress é seguro, definitivamente. Se você gerenciá-lo da forma correta e tomar as principais medidas de segurança, será bem mais difícil ocorrer problemas.
Se você não sabe quais plugins instalar, não sabe quais medidas de segurança são necessárias e quiser contratar especialista para tornar seu site WordPress blindado, entre em contato conosco.
Você pode mesmo confiar no WordPress? Minha resposta é sim, mas aqui estão algumas ressalvas para certificar minha resposta:
- Se você não vai gerenciar seu site, mantê-lo atualizado, não vai usar um serviço que faça isso para você e/ou não vai contratar alguém para gerenciar seu site;
- Se você você não vai certificar sobre a confiabilidade do desenvolvedor do plugin ou tema que você instala, ou se quer apenas instalar um recurso que é pago mas que você “encontrou gratuitamente” na internet;
- Se você vai instalar e abandonar no ar, talvez pagando um plano longo de hospedagem e não vai contratar um serviço de hospedagem gerenciada.
São apenas as três principais ressalvas que faço para usar o WordPress com segurança, além das dicas que dei acima. Eu realmente acho que o WordPress é Seguro e gosto de utilizá-lo na maioria dos meus projetos.
Usando o WordPress, você sempre vai poder contar com uma diligente comunidade, que não mede esforços para tornar o WordPress cada vez mais seguro – mais até que a maioria das ferramentas. Tenha em mente que não importa se você está usando o WordPress ou se é um aplicativo da Play Store do Google, você ainda será um alvo. Tudo tem um certo nível de vulnerabilidade e tudo precisa ser atualizado regularmente.
WordPress está sob ataque, porque é, sem dúvida, o melhor CMS criado até hoje. Mas, WordPress é seguro? Sim. Agora, você é capaz de manter seu site seguro? É esta resposta que deve pensar em responder.
Deixe seus comentários abaixo. Você já teve um site WordPres ou mesmo sem ser WordPress hackeado? O que tomou como medida de segurança? Quais são seus protocolos de segurança nos seus sites? E, o que achou destas considerações? Deixe-nos saber seus pensamentos a respeito deste assunto, e não esqueça de compartilhar este conteúdo nas suas redes sociais.
Até o próximo,