O cenário de ameaças à segurança do WordPress em 2024: principais tendências e estatísticas
Publicados: 2024-04-18WPScan lançou recentemente sua análise das vulnerabilidades e ameaças de 2023 para sites WordPress. Com essas informações em mãos, proprietários de sites e profissionais do WordPress podem navegar em 2024 com um pouco mais de segurança.
Liderado por especialistas em segurança dedicados, o WPScan mantém o principal banco de dados de ameaças ao ecossistema WordPress. Utilizado pelos melhores profissionais do setor, o WPScan é considerado o recurso mais completo disponível. Até o momento, o WPScan e seus colaboradores identificaram, verificaram e classificaram mais de 49.000 vulnerabilidades.
O banco de dados é usado por organizações empresariais como Grupo Mercedes-Benz, WP Engine, Accenture e Kinsta. Ele também fornece ferramentas de segurança WordPress renomadas, como Jetpack Scan, que está disponível por meio do Jetpack Protect ou com um plano Jetpack Security.
Por que este relatório existe? Qual a origem dos dados?
A equipe do WPScan se dedica a identificar, verificar e indexar ameaças ao ecossistema WordPress, para que as ferramentas de segurança do WordPress (como Jetpack Security) possam protegê-las de forma eficaz e proteger a comunidade.
Identificar e compreender as ameaças são os primeiros passos na proteção da segurança cibernética.
Os dados deste relatório foram compilados a partir de vulnerabilidades divulgadas pelo WPScan e verificadas por seus pesquisadores de segurança, bem como uma amostra de mais de 350.000 sites e serviços Automattic que usam Jetpack Scan ou Jetpack Protect.
O que aprendemos?
Não tem tempo para ler o relatório completo? Não se preocupe. Nós ajudamos você com um resumo dos pontos principais.
O XSS recebe muita atenção, mas as injeções de SQL são uma ameaça mais prevalente
O script entre sites recebe muita atenção. É frequentemente relatado por caçadores de recompensas e pesquisadores de segurança (53% de todas as vulnerabilidades divulgadas).
Mas o tipo mais comum de ameaça — conforme demonstrado por meio de tentativas reais de bloqueio pelo firewall Jetpack — são, na verdade, injeções de SQL. A ameaça de uma injeção de SQL tende a ser particularmente séria porque pouca ou nenhuma autenticação é necessária para explorar esse tipo de vulnerabilidade.
Duas ameaças são mais comuns quando se trata de segurança do WordPress
O relatório confirmou o que já sabemos: credenciais de usuário fracas e plug-ins anulados são a porta de entrada para a maioria dos ataques.
Isso significa que os administradores do site podem evitar a maioria dos problemas de segurança mantendo o software atualizado e exigindo autenticação forte.
Mais de 20% das vulnerabilidades não exigiram autenticação
A equipe WPScan analisa as vulnerabilidades para determinar o nível de autenticação necessário para explorar o código afetado. Embora cerca de um terço de todas as vulnerabilidades exijam acesso a uma conta de administrador (reduzindo o risco de exploração), 22% das vulnerabilidades divulgadas não exigiriam absolutamente nenhuma autenticação ou apenas uma conta de assinante.
Os ataques de malware continuam predominantes
O Jetpack Scan (que utiliza o banco de dados WPScan) identificou impressionantes 70.000 sites com pelo menos um arquivo malicioso. A maioria das causas pode ser atribuída a (você adivinhou!) Credenciais vazadas/fracas ou software anulado.
75% (600.000 arquivos maliciosos) foram considerados malware genérico.
As ferramentas existentes estão funcionando
O firewall Jetpack bloqueou mais de sete milhões de solicitações envolvendo uma vulnerabilidade de alta gravidade, evitando inúmeros ataques XSS em sites ameaçados.
O relatório afirma,
O firewall Jetpack, embora seja uma adição recente ao pacote Jetpack Security , está provando seu valor ao bloquear possíveis ataques no início do ciclo, evitando que invasores obtenham uma posição segura em sites protegidos.
O firewall Jetpack também bloqueou mais de meio milhão de ataques de injeção SQL e Path Traversal.
O que os profissionais de segurança cibernética e WordPress devem fazer a seguir?
Você não pode impedir ataques se não souber o que procurar. WPScan fornece a biblioteca mais robusta e atualizada de ameaças verificadas. Os desenvolvedores e profissionais de segurança cibernética podem incorporá-lo em seus programas internos por meio de uma API para reforçar suas defesas.
As equipes de segurança da Web também podem usar o CLI Scanner do WPScan como parte do teste de penetração. Ele fornece uma visão externa das informações que os hackers podem visualizar sobre o seu site sem autenticação.
Os desenvolvedores e organizações empresariais devem entrar em contato com o WPScan imediatamente para ver se é a melhor ferramenta para sua operação.
O que os proprietários de sites WordPress devem fazer a seguir?
A avaliação do WPScan sobre o ecossistema de segurança do WordPress demonstra que as ameaças persistem. A boa notícia é que os mais prevalentes podem ser frustrados com bastante facilidade. Os proprietários de sites WordPress podem usar o banco de dados WPScan por meio do Jetpack Protect e obter acesso a um conjunto completo de ferramentas de prevenção e recuperação com o Jetpack Security.
Aplicar autenticação forte
Senhas fracas não são apenas o ponto fraco mais comum na segurança cibernética, mas também um dos mais fáceis de corrigir. Você pode exigir senhas fortes dos usuários e educar sua equipe sobre as práticas recomendadas para senhas, como usar uma combinação de números, letras e caracteres especiais, ter credenciais exclusivas para cada site e atualizar as senhas regularmente.
Você também pode exigir autenticação de dois fatores, especialmente em contas de nível de administrador.
Atribua as funções de usuário adequadas e siga o princípio do menor privilégio
As funções de usuário do WordPress são poderosas porque permitem conceder acesso a funções específicas com base na área de responsabilidade de uma pessoa. Limitar o número de funções de alto nível atribuídas reduz o número de pontos de acesso e permite maior educação e responsabilidade em relação a senhas e autenticação segura.
Conhecido como o princípio do menor privilégio, os usuários só devem ter acesso à função mais baixa exigida para as funções de trabalho necessárias.
Mantenha o núcleo, os temas e os plug-ins atualizados
Junto com senhas fracas, software desatualizado é a raiz mais comum de ataques bem-sucedidos. Seu site deve usar a versão mais atualizada do núcleo do WordPress, seu tema e quaisquer plug-ins instalados.
À medida que as vulnerabilidades são descobertas, desenvolvedores de plug-ins respeitáveis lançarão atualizações para corrigi-las. Ignorar essas atualizações deixa seu site exposto.
Instale um plugin de segurança WordPress
Para obter a proteção mais completa, os proprietários de sites precisam ir além de senhas fortes, software atualizado e atribuição adequada de funções de usuário. Profissionais veteranos do WordPress sabem que o plugin de segurança WordPress certo ajudará a prevenir invasões e fornecerá opções de recuperação caso alguém consiga passar.
Se você deseja proteção abrangente com complicações mínimas, o Jetpack Security é a solução que você precisa. Aqui estão apenas alguns dos itens incluídos:
- Monitoramento de tempo de inatividade . Saiba imediatamente que há um problema com seu site para que você possa tomar medidas imediatas.
- Um firewall de site . O relatório do WPScan mencionou repetidamente ataques frustrados pelo Firewall do Jetpack. Obtenha acesso a ele com Jetpack Security.
- Verificação de malware em tempo real e correções com um clique . Obtenha acesso ao banco de dados completo do WPScan e verifique continuamente seu site em busca de malware e vulnerabilidades. Melhor ainda: você também obterá soluções com um clique para a maioria dos problemas.
Não precisa de um plugin de segurança completo, mas deseja acesso ao banco de dados do WPScan para verificação de vulnerabilidades e malware? Esses recursos também estão disponíveis em um plugin independente, Jetpack Protect .
- Backups em tempo real . Lembre-se de que você também precisa de um método de recuperação caso um invasor consiga passar. Jetpack VaultPress Backup salva tudo em seu site e registra todas as atividades. Restaure para um momento exato e revise seu registro para solucionar problemas e evitar problemas futuros. Você pode acessar e restaurar backups mesmo que seu site esteja completamente fora do ar, a partir do seu dispositivo móvel.
- Proteção contra SPAM . Comentários indesejados e irrelevantes e envios de formulários são mais do que irritantes – eles são perigosos para você e seus visitantes. Jetpack Security vem com Akismet Anti-spam para que você possa evitar 99% do spam sem forçar os visitantes a completar um CAPTCHA agravante.
- Proteção contra ataques de força bruta . Ataques de força bruta são uma ameaça bastante comum no WordPress. Eles também podem ser facilmente interrompidos com o Jetpack Security.
Jetpack e WPScan: trabalhando juntos para um WordPress mais seguro
A equipe do WPScan trabalha incansavelmente para manter o banco de dados mais preciso de vulnerabilidades do WordPress. Profissionais do WordPress e organizações empresariais podem integrar-se às ferramentas WPScan para obter a proteção mais avançada disponível.
Os proprietários de sites WordPress acessam essas mesmas informações por meio do Jetpack Security, juntamente com outras ferramentas de segurança. Este plugin de segurança simplesmente funciona com o mínimo de complicações e esforço contínuo. Seu site está simplesmente protegido .
Saiba mais sobre a segurança do Jetpack.
Saiba mais sobre WPScan.