English
LinkedinInstagramTwitterFacebook

Insights

Helder Cervantes

Quão seguro é o seu site?

Helder Cervantes, Web specialist

2017-12-19

Vamos avaliar as vulnerabilidades das principais plataformas CMS.

Ninguém quer ser hackado. Mas quando fo ia última fez que fez um backup do seu site ou verificou se estava seguro contra intrusos?

Neste artigo vou olhar para as principais plataformas CMS e ver o seu histórico recente de vulnerabilidades. Se o seu site utiliza uma destas plataformas, provavelmente quererå parar a meio para fazer umas contas de cabeça e avaliar se o seu site está em risco. Se o seu site não usa nenhuma destas plataformas, vai ficar a saber como fazer o mesmo teste, rápido e fácil, e obter a mesma informação.

NOTA IMPORTANTE: Este artigo é de 2017 e a base de dados referida nestes testes foi entretanto descontinuada.

Como testo?

Googlar pelo nome da sua plataforma e a palavra "vulnerability" provavelmente dará alguma informação para começar. Mas há empresas que seguem este tipo de problemas e mantém listas atualizadas de problemas conhecidos. Uma dessas empresas é a Flexera Software, que disponibiliza o Secunia Research Advisory Database, que é ume esforço da comunidade que segundo os próprios é "The World’s Premier Vulnerability Intelligence Resource". Registei-me e pesquisei por lá as 3 plataformas mais comuns: Wordpress, Drupal e Joomla. E claro, sendo fã do ProcessWire, vou ver como também este se compara com os restantes – diz ele a esfregar as mãos.

Se o seu site usa outra coisa, verifique esta base de dados. Siga este link, registe-se, e pesquise pelo nome da sua plataforma.

Ready? Set? Go!

Wordpress

Spoiler alert: O Wordpress é o pior. 1168 vulnerabilidades, e só em 2017 houve 21 detecções.

Não entre já em pânico. Para ser justo, não se trata de vulnerabilidades altamente críticas, e algumas estão relacionadas com plugins específicos que é pouco provável o seu site utilizar. No entanto, "SQL Injection Vulnerability" (2017-11-01) significa que algo pode ser explorado para comprometer toda a informação de um site.

Uma das entradas, "WordPress Multiple Vulnerabilities" em 2017-09-20 é listada como "Moderadamente Crítica", com impacto em "Security Bypass, Cross Site Scripting, Spoofing". Facilmente se percebe o que significa "security bypass" e os outros dois... é melhor atualizar o Wordpress antes de descobrir. Mas espere! Cuidado. Faça um backup primeiro, porque atualizar pode fazer estragos.

Adiante...

Drupal

O Drupal porta-se bem melhor, aparentemente, com 830 entrada e só 5 este ano. A mais recente foi a 16 de agosto, por isso se não atualizou entretanto, é boa ideia verificar se o seu site usa REST API.

Mas repare. A 22 de junho...

Multiple vulnerabilities have been reported in Drupal, which can be exploited by malicious users to bypass certain security restrictions and by malicious people to compromise a vulnerable system.

Não é tão perigoso como soa. Explorar esta vulnerabilidade requer um grau de acesso que não é fácil de obter. Em traços gerais, esperava um cenário muito pior para esta plataforma.

NEXT!

Joomla

620 recomendações desde o início dos tempos, 6 este ano. Nenhuma das mais recentes listada como altamente crítica, e só um as quantas críticas.

A mais recente, a 9 de novembro diz assim:

Multiple vulnerabilities have been reported in Joomla!, which can be exploited by malicious people to disclose certain sensitive information and bypass certain security restrictions.

1) An error related to the LDAP authentication plugin can be exploited to disclose usernames and passwords.

Isto significa que a se autenticação LDAP estiver ligada e a sua sorte estiver fraca, o seu site pode dar mais informação do que gostaria. Se é daquelas pessoas que usa a mesma senha em todo o lado, isso é algo que pode ir parar a um leak.

E o ProcessWire?

Sim, está a ver bem. Zero entradas. Que é como quem diz, nada. Como que "estás na tanga, não pode ser".

Mas é. Isto é um tema que volta e meia regressa na comunidade ProcessWire e ninguém conhece um único site PW que alguma vez tenha sido comprometido. Claro que eventualmente terei que comer estas palavras, mas nos 3 anos que já levo a usá-la e envolvido na comunidade, o cadastro tem-se mantido absolutamente limpo. Mais, a pesquisar no fórum encontra-se gente com o mesmo comentário em 2014: "I've been working with PW since version XX and never heard of a site being compromised".

Mas como?

Primeiro, não é tão dependente de plugins como outras plataformas. No Wordpress, plugins são o culpado mais comum quando surge um problema. Não vai encontrar por exemplo um plugin de galeria de imagens para o ProcessWire que gera um slideshow pronto a usar com miniaturas, animações e tudo isso como se encontra no Wordpress. O que o ProcessWire faz melhor é oferecer uma plataforma sólida para gerir conteúdo e uma API impecável para o apresentar. Para developers como eu, que preferem construir tudo à medida, é do melhor que há.

Tudo é fechado por defeito, e cada developer abre apenas o que necessita para cada projeto, com ferramentas muito simples para filtrar dados para assegurar que tudo o que entra, o faz de forma ordeira.

A preocupação com a segurança no Processwire é algo que gosto de ilustrar com esta citação do Ryan Cramer (pai do ProcessWire, Obi-wan de nós todos):

Por defeito, o módulo "Esqueci a Senha" não vem ativo na versão 2.1. A minha ideia foi que retirar esta funcionalidade é tecnicamente mais seguro (em qualquer site ou CMS). Porquê? Porque ter esta funcionalidade ativa significa que a sua password só será tão segura como é o seu email (...) Então pensei que devemos arrancar com as coisas o mais seguras quanto possível, e deixar as pessoas ajustar conforme as suas próprias necessidades.

Ainda quer recuperação de senhas?

Nota final, deve preocupar-se?

Sim, mas não perca o sono. No fim de contas, o que torna o seu site seguro é quem o desenvolveu. Se foi bem construido e o mantém debaixo de olho, não deve haver problema. Mas não lhe vou perguntar quando foi a última vez que fez um backup ao seu site ;)

Loving is sharing

Partilhe este conteúdo

Voltar à lista

Próximo post

Vamos trabalhar

Entre em contacto e conte-nos sobre o seu projeto. Estamos sempre abertos ao ao próximo desafio.

Like and subscribe

LinkedinInstagramTwitterFacebook

Entre em contacto

hi@supertiny.agency

+351 91 797 7610

© 2021 Supertiny Agency. Política de privacidade