{"id":2705,"date":"2022-04-19T19:39:22","date_gmt":"2022-04-19T22:39:22","guid":{"rendered":"https:\/\/nearjob.com.br\/?p=2705"},"modified":"2022-04-19T19:40:54","modified_gmt":"2022-04-19T22:40:54","slug":"wordpress-aumento-de-150-nas-vulnerabilidades-detectadas-em-2021","status":"publish","type":"post","link":"https:\/\/nearjob.com.br\/fr\/wordpress-aumento-de-150-nas-vulnerabilidades-detectadas-em-2021\/","title":{"rendered":"WordPress: aumento de 150% nas vulnerabilidades detectadas em 2021"},"content":{"rendered":"<p>A Patchstack, uma empresa de seguran\u00e7a cibern\u00e9tica, apresentou seu novo white paper,\u00a0<em>State of WordPress Security in 2021<\/em>\u00a0.\u00a0Ele analisa as amea\u00e7as ao ecossistema WordPress, em particular aos plugins e temas CMS usados \u200b\u200bpor 43,2% dos sites em 2021 (vs 39,5% em 2020).\u00a0O relat\u00f3rio \u00e9 baseado em dados de seu banco de dados de vulnerabilidades, o Patchstack Alliance, que corresponde ao programa de recompensas de bugs da editora, bem como em relat\u00f3rios p\u00fablicos.\u00a0No total, a editora analisou 50.000 sites e verificou a seguran\u00e7a dos plugins e temas instalados.<\/p>\n\n\n\n<p>Os principais dados a serem lembrados:<\/p>\n\n\n\n<ul><li>1.500 novas vulnerabilidades foram descobertas em plugins, temas e n\u00facleo do WordPress em 2021 (vs. 600 em 2020), um aumento de 150% em um ano.<\/li><li>91,79% deles vieram do reposit\u00f3rio oficial de plugins e temas no WordPress.org, o restante foi relatado em vers\u00f5es premium ou oferecido em outros sites de download (Envato, ThemeForest, Code Canyon\u2026).<\/li><li>99,42% do n\u00famero total de vulnerabilidades detectadas eram de temas e plugins do WordPress (vs. 96,22% em 2020).&nbsp;92,81% foram para extens\u00f5es e 6,61% para temas.<\/li><li>91,38% dos plugins identificados como vulner\u00e1veis \u200b\u200beram extens\u00f5es gratuitas.<\/li><li>Quase uma em cada duas (49,82%) vulnerabilidades eram de natureza XSS (&nbsp;<em>Cross-site Scripting<\/em>&nbsp;).<\/li><li>42% dos sites WordPress instalaram pelo menos um componente vulner\u00e1vel (tema ou plugin) no ano passado.<\/li><\/ul>\n\n\n\n<p>Em 2021, vimos 6 dos 18 componentes desatualizados em um \u00fanico site WordPress.\u00a0Com cada plugin adicional instalado no site, o risco de ser exposto a uma potencial vulnerabilidade aumenta.\u00a0Sites atrasados \u200b\u200bcom atualiza\u00e7\u00f5es aumentam ainda mais o risco.<\/p>\n\n\n\n<p>O Patchstack tamb\u00e9m especifica que as vulnerabilidades f\u00e1ceis de instalar s\u00e3o os principais alvos dos invasores, assim como as falhas antigas que j\u00e1 foram detectadas, mesmo h\u00e1 v\u00e1rios anos.<\/p>\n\n\n\n<p>Isso pode ser explicado pelo uso de ferramentas de hacking dispon\u00edveis online.\u00a0Essas ferramentas s\u00e3o pr\u00e9-programadas para tentar todas as explora\u00e7\u00f5es e vulnerabilidades populares contra um alvo, e tudo o que o invasor precisa fazer \u00e9 selecionar um site de destino (ou lista de alvos).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">35 vulnerabilidades cr\u00edticas identificadas em plugins do WordPress<\/h2>\n\n\n\n<p>Entre as 35 vulnerabilidades cr\u00edticas relatadas nos plugins do WordPress em 2021, existem duas extens\u00f5es populares, que foram baixadas mais de um milh\u00e3o de vezes, a saber:<\/p>\n\n\n\n<ul><li><strong>All in One SEO (vers\u00e3o 4.1.5.2)<\/strong>&nbsp;: mais de 3 milh\u00f5es de downloads<\/li><li><strong>WP Fastest Cache (vers\u00e3o 0.0.4)<\/strong>&nbsp;: mais de um milh\u00e3o de downloads<\/li><\/ul>\n\n\n\n<p>Se esses dois plugins receberam um patch de seguran\u00e7a para corrigir a falha, esse n\u00e3o \u00e9 o caso de 29% das extens\u00f5es do WordPress, dentre as que apresentaram vulnerabilidades cr\u00edticas identificadas no ano passado.<\/p>\n\n\n\n<p>Nos casos em que n\u00e3o h\u00e1 corre\u00e7\u00e3o dispon\u00edvel, os usu\u00e1rios precisam verificar manualmente se instalaram esses plugins e remov\u00ea-los ou encontrar alternativas.\u00a0N\u00e3o h\u00e1 como comunicar esse problema diretamente aos propriet\u00e1rios de sites que executam esses plug-ins, pois eles aparecer\u00e3o &#8220;atualizados&#8221; nas p\u00e1ginas de administra\u00e7\u00e3o do WordPress, se instalados.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">55 temas s\u00e3o afetados por vulnerabilidades cr\u00edticas<\/h2>\n\n\n\n<p>De acordo com o white paper, 55 temas no ano passado tiveram problemas de seguran\u00e7a relacionados aos recursos de upload de arquivos.&nbsp;O Patchstack as categorizou com base na pontua\u00e7\u00e3o do&nbsp;<em>Common Vulnerability Scoring System<\/em>&nbsp;(CVSS ), que est\u00e1 na forma de uma pontua\u00e7\u00e3o de 10. \u00c9 uma avalia\u00e7\u00e3o padronizada da criticidade das vulnerabilidades, que \u00e9 baseada em crit\u00e9rios objetivos e mensur\u00e1veis.<\/p>\n\n\n\n<ul><li><strong>CVSS 10\/10:<\/strong>&nbsp;10 temas afetados pelo download de arquivos n\u00e3o identificados arbitr\u00e1rios com remo\u00e7\u00f5es de op\u00e7\u00f5es.<\/li><li><strong>CVSS 9.8\/10:<\/strong>&nbsp;1 tema direcionado a um download n\u00e3o identificado levando \u00e0 vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo e 1 outro tema identificado com uma vulnerabilidade de inje\u00e7\u00e3o&nbsp;<em>de SQLi cego n\u00e3o autenticada<\/em>&nbsp;.<\/li><li><strong>CVSS 8.8\/10:<\/strong>&nbsp;42 temas afetados por uma vulnerabilidade arbitr\u00e1ria de download de arquivos e 1 outro afetado por uma vulnerabilidade XSS (&nbsp;<em>Cross-Site Scripting<\/em>&nbsp;) n\u00e3o autenticada.<\/li><\/ul>\n\n\n\n<p>2021 mostrou uma tend\u00eancia cont\u00ednua de vulnerabilidades cr\u00edticas em temas relacionados \u00e0 funcionalidade de upload de arquivos fornecida pelo tema WordPress.\u00a0Esta n\u00e3o \u00e9 uma nova tend\u00eancia, mas um problema recorrente com temas que geralmente incluem c\u00f3digo personalizado para a funcionalidade de upload de arquivos.<\/p>\n\n\n\n<p>Al\u00e9m de verificar os temas que voc\u00ea est\u00e1 usando e baixar atualiza\u00e7\u00f5es de seguran\u00e7a, Patchstack recomenda que propriet\u00e1rios e desenvolvedores de sites WordPress \u201c&nbsp;<em>pro\u00edbam a execu\u00e7\u00e3o de arquivos PHP em diret\u00f3rios de upload de arquivos (\u2026) atrav\u00e9s do arquivo .htaccess do Apache, regras Nginx ou at\u00e9 mesmo uma regra de firewall WAF&nbsp;<\/em>&nbsp;\u201d.&nbsp;Voc\u00ea tamb\u00e9m pode bloquear o acesso a URLs que terminam em \u201c.php\u201d e que contenham a men\u00e7\u00e3o \u201cupload\u201d.&nbsp;&#8221;&nbsp;<em>\u00c9 uma prote\u00e7\u00e3o relativamente s\u00f3lida para implementar, porque os downloads de sites devem ser m\u00eddia, como imagens, v\u00eddeos ou PDFs, mas n\u00e3o c\u00f3digo PHP<\/em>&nbsp;&#8220;, disse ele. &#8216;editor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Consci\u00eancia e or\u00e7amento insuficientes para a seguran\u00e7a do site WordPress<\/h2>\n\n\n\n<p>De uma pesquisa realizada pela Patchstack no final de 2021 entre desenvolvedores freelance (27%), propriet\u00e1rios de sites (13%) e ag\u00eancias (43%), 53% dos entrevistados indicaram que atualizam seus componentes do WordPress (plugins, temas e&nbsp;<em>core<\/em>&nbsp;) uma vez por semana, 20% ao dia e 18% ao m\u00eas.&nbsp;O restante dos entrevistados apenas ativou as atualiza\u00e7\u00f5es autom\u00e1ticas ou n\u00e3o possui informa\u00e7\u00f5es sobre a seguran\u00e7a de seu site.&nbsp;A maioria deles lida com problemas de seguran\u00e7a, conta com seu provedor de hospedagem ou com a equipe de suporte do plug-in afetado pela vulnerabilidade.<\/p>\n\n\n\n<p>Quanto ao or\u00e7amento destinado \u00e0 seguran\u00e7a dos sites WordPress, 28% dos entrevistados n\u00e3o o possuem e 27% gastam entre 1 e 3 d\u00f3lares por m\u00eas.\u00a0Para 7% deles, o or\u00e7amento \u00e9 de R$ 233,32\u00a0por site por m\u00eas.\u00a0A pesquisa tamb\u00e9m revela que o custo m\u00e9dio para remover malware foi de R$ 2.860,44\u00a0em 2021, variando de R$ 233,32\u00a0a R$ 22.398,24\u00a0.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\" id=\"attachment_99880\"><img decoding=\"async\" loading=\"lazy\" width=\"664\" height=\"235\" src=\"https:\/\/nearjob.com.br\/wp-content\/uploads\/2022\/04\/Consciencia-e-orcamento-insuficientes-para-a-seguranca-do-site-WordPress.jpg\" alt=\"Consci\u00eancia e or\u00e7amento insuficientes para a seguran\u00e7a do site WordPress\" class=\"wp-image-2706\" srcset=\"https:\/\/nearjob.com.br\/wp-content\/uploads\/2022\/04\/Consciencia-e-orcamento-insuficientes-para-a-seguranca-do-site-WordPress.jpg 664w, https:\/\/nearjob.com.br\/wp-content\/uploads\/2022\/04\/Consciencia-e-orcamento-insuficientes-para-a-seguranca-do-site-WordPress-300x106.jpg 300w, https:\/\/nearjob.com.br\/wp-content\/uploads\/2022\/04\/Consciencia-e-orcamento-insuficientes-para-a-seguranca-do-site-WordPress-450x159.jpg 450w\" sizes=\"(max-width: 664px) 100vw, 664px\" \/><figcaption>Consci\u00eancia e or\u00e7amento insuficientes para a seguran\u00e7a do site WordPress<\/figcaption><\/figure>","protected":false},"excerpt":{"rendered":"<p>A Patchstack, uma empresa de seguran\u00e7a cibern\u00e9tica, apresentou seu novo white paper,\u00a0State of WordPress Security in 2021\u00a0.\u00a0Ele analisa as amea\u00e7as ao ecossistema WordPress, em particular aos plugins e temas CMS usados \u200b\u200bpor 43,2% dos sites em 2021 (vs 39,5% em 2020).\u00a0O relat\u00f3rio \u00e9 baseado em dados de seu banco de dados de vulnerabilidades, o Patchstack [&hellip;]<\/p>","protected":false},"author":1,"featured_media":2707,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[209],"tags":[208],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/posts\/2705"}],"collection":[{"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/comments?post=2705"}],"version-history":[{"count":2,"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/posts\/2705\/revisions"}],"predecessor-version":[{"id":2710,"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/posts\/2705\/revisions\/2710"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/media\/2707"}],"wp:attachment":[{"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/media?parent=2705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/categories?post=2705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nearjob.com.br\/fr\/wp-json\/wp\/v2\/tags?post=2705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}