Menu
English
2017/12/19

O seu website está seguro?

Helder Cervantes
Especialista web
Vamos lá ver que vulnerabilidades têm as plataformas CMS mais comuns.

Ninguém quer ver o seu site comprometido. Mas quando foi a última vez que fez um backup do seu site, ou verificou se estava seguro contra intrusão?

Neste artigo vou olhar às plataformas CMS mais conhecidas e ver o seu histórico recente de vulnerabilidades. Se o seu site usar uma destas plataformas, provavelmente vai querer parar a meio e fazer as contas a pensar se estará em risco. Se nenhuma destas plataformas estiver por trás do seu site, em breve vai ficar a saber como fazer o mesmo teste, rápido e fácil, para descobrir a mesma informação.

Como verifico?

Googlar o nome da plataforma e a palavra "vulnerability" provavelmente lhe dará boa informação de imediato. Mas há empresas e comunidades que rastreiam este tipo de problemas e mantêm listas atualizadas de vulnerabilidades conhecidas. Uma destas empresas é a Flexera Software, que disponibiliza a Secunia Research Advisory Database. Este é um esforço comunitário que segundo eles é o "Recurso de Inteligência em Vulnerabilidades Líder Mundial". Registei-me, dei uma volta na base de dados, e pesquisei os 3 nomes maiores no campo dos CMS para ver o que aparece: Wordpress, Drupal e Joomla. E claro, sendo um fanboy do ProcessWire, vou ver como se compara com este grupo - diz ele a esfregar as mãos.

Se o seu site usa outra plataforma, sugiro que consulte esta base de dados. Basta seguir este link, registar-se (não se preocupe, não enviam spam), e pesquisar pelo nome da sua plataforma.

Pronto? Então vamos lá.

Wordpress

Alerta de spoiler: o Wordpress é o pior. 1168 vulnerabilidades, e só em 2017 já vão 21 detetadas.

Mas não entre já em pânico. Para ser justo, estas não são vulnerabilidades altamente críticas e algumas referem-se a plugins específicos que o seu site pode ou não usar. No entanto, "SQL Injection Vulnerability" (2017-11-01) significa que algo pode ser explorado para comprometer os dados do seu site.

Uma das entradas, "WordPress Multiple Vulnerabilities" em 2017-09-20 é listada como "Moderadamente Crítica", e com um impacto em "Contorno de segurança, Scripting entre sites, Spoofing". Contornar a segurança todos temos uma ideia do que será, e quanto aos outros dois... bem mais vale atualizar o seu Wordpress antes de descobrir. Mas espere! Não vá tão rápido. Faça um backup primeiro, porque atualizar pode quebrar o seu site.

Adiante...

Drupal

O Drupal safa-se bem melhor, aparentemente, com 830 entradas e só 5 este ano. A mais recente é de 16 de agosto, por isso se não atualizou depois disso, é boa ideia confirmar se o seu site usa a REST API.

Mas atenção. É que em 2017-06-22, traduzindo o que diz no registo...

Múltiplas vulnerabilidades foram detetadas no Drupal, que podem ser exploradas por utilizadores maliciosos para contornar certas restrições de segurança e por pessoas maliciosas para comprometer um sistema vulnerável.

Calma, não é tão perigoso como soa. Explorar esta vulnerabilidade requer certos privilégios de acesso que não são fáceis de obter. No geral, adivinharia um cenário muito pior para esta plataforma.

SEGUINTE!

Joomla

620 registos desde o início dos tempos, 6 este ano. Nenhum dos mais recentes listado como altamente crítico, só alguns moderadamente críticos.

O mais recente, a 9 de novembro, diz:

Múltiplas vulnerabilidades foram reportadas no Joomla!, que podem ser exploradas por gente maliciosa para expor certa informação sensível e contornar certas restrições de segurança.

1) Um erro relacionado com o plugin de autenticação LDAP pode ser explorado para divulgar nomes de utilizadores e palavras-passe.

Isto significa que se a autenticação LDAP estiver ligada e a sua sorte estiver nas lonas, o seu site pode dar de bandeja mais informação do que gostaria. Se for daquelas pessoas que usam a mesma palavra-passe em todo o lado, aí está algo que pode vazar por este buraco.

E o ProcessWire?

Sim, está a ver bem. Zero entradas. Como em "nada". Como em "não, estás a gozar, não pode ser".

Ah mas é. Isto é algo que de tempos a tempos vem à baila na comunidade ProcessWire, e ninguém conhece um único site PW que alguma vez tenha sido comprometido. Claro que conto comer estas palavras eventualmente mas até agora, nos 2, quase 3 anos desde que passei a trabalhar com esta plataforma e a participar na comunidade, o cadastro tem-se mantido imaculado. E mais, fiz uma pesquisa nos fóruns e encontrei a mesma questão em 2014: "Já trabalho com o PW desde a versão XX e nunca ouvi falar num site que tenha sido comprometido".

Porque é que isto acontece?

Primeiro este CMS não é tão dependente de plugins como as outras plataformas. No Wordpress, um plugin é geralmente o culpado quando um problema aparece. Não vai encontrar um plugin de galeria (por exemplo) para o ProcessWire que gere na página um slideshow completamente funcional com thumbnails, animações e tudo o mais como encontra no Wordpress. O que o PW faz, e bem, é oferecer uma plataforma sólida para gerir conteúdos e uma API fenomenal para apresentar esse conteúdo. Para developers como eu que preferem construír tudo da forma mais à medida possível, não há melhor.

Tudo começa fechado, e o developer só abre o que precisa para cada projeto, com ferramentas muito fáceis para filtrar dados e garantir que o que entra, o faz da forma mais ordeira possível.

A preocupação com a segurança no ProcessWire é algo que gosto de ilustrar com esta citação do Ryan Cramer (pai do ProcessWire, Obi-wan de nós todos):

Por defeito, o módulo "Recuperação de palavra-passe" não vem ligado na v2.1. A ideia é que a ausência dessa funcionalidade é tecnicamente mais segura (em qualquer site ou CMS). Porquê? Porque ter essa funcionalidade ativa significa que a sua palavra-passe nunca estará mais segura que o seu email (...) Por isso penso que devemos começar o mais seguro possível e permitir que cada um ajuste conforme as suas próprias necessidades.

E agora, ainda quer ter recuperação de palavra-passe?

E para finalizar, deve ficar preocupado?

Sim, mas não perca o sono por isso. No final de contas o que torna um site seguro ou não é o cuidado de quem o desenvolve. Se foi bem feito e o mantiver debaixo de olho, não deve haver problema. Mas vou abster-me de lhe perguntar quando foi a última vez que fez um backup do seu site ;)

Gosta?
Partilhe

Nunca ouviu falar da SuperTINY agency?

Voltar acima