Invasão em sites desenvolvidos com WordPress e Joomla

Atualmente criar e manter um site, sem que se tenha qualquer conhecimento de programação, é uma realidade ao alcance de muitas pessoas. Isso é possível em grande parte à popularização dos CMS (Content Management System), que nada mais são do que sistemas em que determinados tipos de conteúdo podem ser gerenciados, bem como uma série de funcionalidades incluídas (aparência, ferramentas, recursos do site).

 

Entre os mais populares CMS, estão o WordPress e o Joomla. São sistemas robustos na medida em que lhe oferecem inúmeras possibilidades para criar um site. Mas esta versatilidade e popularidade tem um preço, o qual muitas vezes pode ser bem elevado - a vulnerabilidade do site criado com base nestas plataformas.

 

Os fatores de maior destaque associados aos problemas de segurança são:

 

- Por serem os CMS mais utilizados em suas respectivas categorias, é muito fácil encontrar um site que use o WordPress ou Joomla como plataforma de desenvolvimento e consequentemente uma "vítima" em potencial.

- Ambos são OpenSource (código aberto), fazendo com que o código que os compõe seja de conhecimento de qualquer um que se interesse. Assim a facilidade de alteração do código está ao alcance de qualquer pessoa, bem como as falhas que permitem aos crackers literalmente apropriar-se de uma conta.

 

- Por suas características, qualquer pessoa / empresa pode criar componentes, temas, plugins, para os CMS. Grande parte deste material complementar é desenvolvido muitas vezes sem preocupação com boas práticas de programação e questões de segurança. Esta particularidade tem feito com que algumas das extensões criadas, sejam feitas com o objetivo principal de introduzir propositalmente uma vulnerabilidade na aplicação ou um caminho fácil de invasão. Sendo assim, atualmente é comum encontrarmos temas que são a principal via de exploração de um site.

 

- Em consequência de sua natureza não comercial, não existe um forte compromisso por parte das entidades mantenedoras dos CMS, em corrigir rapidamente eventuais falhas de segurança que são identificadas pelas comunidades. Semanas ou até meses são necessários para que uma atualização de um problema grave seja publicada. Os "bandidos" virtuais não precisam de todo este tempo para aproveitar-se. Como agravante, as atualizações muitas vezes tem que ser feitas manualmente ou dependem de uma ação do responsável pelo site, aumentando assim a exposição da conta a alguém mal intencionado.

 

- Usar extensões (plugins, temas, complementos) sem que se conheça a sua procedência, requisitos e recomendações, aumenta sensivelmente as chances de introduzir vulnerabilidades no seu site. Você não coloca qualquer pessoa sem que a conheça bem dentro da sua casa. Por que então, instala qualquer componente no seu site? Só porque é de graça?! Cuidado! É neste princípio que se apoiam os "gatunos".

 

- Parcela significativa das pessoas que adotam o WordPress ou Joomla como base de desenvolvimento para seus sites, tem conhecimento técnico bem básico, justamente pelas "facilidades" que eles lhe oferecem na criação / manutenção do site. No entanto, por esta característica, estas pessoas muitas vezes abandonam as atualizações da plataforma de desenvolvimento, que são fundamentais para corrigir as falhas de segurança presentes em versões mais antigas.

 

De fato, se você dispõe de alguns minutos, dependendo de como e o que pesquise, encontrará um vastíssimo material para invadir sites baseados em WordPress ou Joomla. Dependendo da sua vontade de "aprender" e se não tiver muito juízo no acesso a determinados sites, rapidamente você pode se tornar um expert em invadir sites construídos nesta plataforma.

 

Sem exagero, é MUITO, MUITO, MUITO fácil explorar uma conta baseada nestes CMS. O "trabalho" só não é mais fácil, porque a quantidade de sites existentes feitos em ambos, é muito grande e assim, os invasores não conseguem dar conta de todos. A seguir apenas um link - entre literalmente centenas - em que se pode encontrar um arsenal de ferramentas para explorar um site baseado em Joomla:

 

http://www.exploit-db.com

 

Se você quer fazer parte do grupo daqueles que lutam para melhorar as aplicações, a tarefa não é das mais fáceis, já que ao que parece, os que trabalham para corrigir os problemas não conseguem fazer com que a informação chegue aos interessados de forma tão eficiente. Na verdade, a maior parcela de "culpa" está nas mãos dos usuários destas ferramentas, que deveriam interessar-se mais por repassá-la aos demais.

 

Veja que, uma pequena pesquisa também revela alguns links que podem ajudar a lidar com os problemas:

 

JOOMLA

 

http://www.joomlaclube.com.br/ http://eunaoqueroumblogue.blogspot.com.br/2013/03/checklist-de-seguranca-joomla.html

 

WORDPRESS

 

http://wp-brasil.org/ http://codex.wordpress.org/pt-br:Blindando_o_WordPress

 

Apesar da RAVEHOST adotar precedimentos de segurança nos servidores e atualizar constantemente regras de acesso, é de suma importância que o responsável por uma conta que faça uso do WordPress ou Joomla, assuma o seu papel na adoção de medidas corretivas e preventivas associadas à segurança da plataforma empregada. Por isso, é fundamental que se você tem um site baseado em alguma plataforma OpenSource, mantenha-se informado, atualize frequentemente seu site, pesquise sobre vulnerabilidades e tenha sempre backups frequentes do seu conteúdo em seu computador.

 

 

Compartilhe este post

Sem Comentários

     

Deixe um comentário