A culpa nem sempre é do WordPress. O quebra-cabeças é bem maior.

A culpa nem sempre é do WordPress. O quebra-cabeças é bem maior.

Sem sombra de dúvidas o WordPress é hoje um dos maiores alvos de crackers. Isso se dá naturalmente, devido à sua grande popularidade e alcance. Hoje em dia é bastante fácil encontrar sites em WordPress, desde os mais simples até grandes portais de empresas do mundo inteiro são construídos utilizando o WordPress como base. Isso se deve à excelente plataforma que o WordPress se tornou.

Para se ter ideia do que virou o WordPress em termos de uso, estima-se que cerca de 23% de todos os sites do mundo utilizem a plataforma WordPress. O segundo colocado, o Joomla, está presente em cerca de 3% dos sites do mundo. A participação de mercado (ou, se preferirem, market share) do WordPress alcançou em 2014 a incrível marca de 60%. Isso significa que de todos os sites que utilizam algum tipo de gerenciador de conteúdo, o WordPress está presente em 60% deles. O segundo colocado, o Joomla, possui uma participação de mercado de 8%.

Porém é importante lembrar que o WordPress sozinho, apesar de já ser por si só um excelente sistema, possui um grande apoio da comunidade de desenvolvedores em designers que hoje ganham a vida desenvolvendo temas e plugins para a plataforma.

Neste momento temos aqui a combinação perfeita para um grande problema: Um sistema bastante utilizado e em constante desenvolvimento, vários desenvolvedores independentes criando temas e plugins para este sistema e, claro, o usuário que dessa vez não tem grande parte de culpa na história que irei contar a seguir.

Sendo do tamanho que é, o WordPress automaticamente passou a ser o sistema mais explorado pelos crackers em busca de brechas de segurança, tanto no núcleo (core) do sistema quanto nos milhares de temas e plugins disponíveis para a plataforma.

Em Fevereiro de 2014 foi descoberta uma falha de segurança em um plugin bastante popular para WordPress, o Slider Revolution. A brecha de segurança simplesmente permitia que qualquer um pudesse ler qualquer arquivo presente no WordPress e, dependendo do sistema, em qualquer parte do servidor inteiro. Ainda no mês de Fevereiro de 2014 essa falha foi corrigida pelos desenvolvedores do tema. Poucos dias depois, certo?

Somente em 1º de Setembro de 2014 essa falha foi aberta ao público pelo site Exploit-DB. Obviamente antes de ser divulgada no Exploit-DB a falha já era conhecida por parte da comunidade hacker/cracker.

Notem que houveram 7 meses entre a descoberta da falha, a correção por parte dos desenvolvedores do plugin e a divulgação pública da falha de segurança. Neste momento tudo deveria estar tudo bem, certo? Agora, meu caro gafanhoto, vamos ao mundo real e lá no mundo real as coisas não são tão bonitinhas assim.

Como milhares de pessoas do mundo inteiro costumam utilizar o plugin Revolution Slider para produzir seus temas, o plugin está presente hoje em muitos, mas muitos sites mesmo e, claro, em 7 meses já deveria estar atualizado em todos. Mas não está.

Os designers/desenvolvedores de temas algumas vezes optam por incorporar o plugin ao tema propriamente dito ao invés de apenas referencia-lo em seus códigos. Aliado a esse fator, temos também o fator de abandono de temas por parte de alguns desenvolvedores/designers. Isso significa que você pode ter comprado um tema em Janeiro de 2014 (ou antes disso) e ele nunca ter sido atualizado ou até mesmo ter sido abandonado pelo designer/desenvolvedor. Infelizmente essa situação não é muito incomum e você pode encontrar aos montes temas e plugins em geral abandonados sem receberem atualizações há anos.

Eis que o pior aconteceu:

Número de ataques ao WordPress utilizando-se a falha do Revolution Slider (Dados Sucuri.net)

Número de ataques ao WordPress utilizando-se a falha do Revolution Slider (Dados Sucuri.net)

Segundo dados do site Sucuri.net, o ataque começou por volta do dia 09 de Agosto e se intensificou no dia 19 de Agosto, sendo ainda efetuado até a presente data (07 de Setembro de 2014).

No dia 05 de Setembro de 2014, a Envato, dona do ThemeForest e do CodeCanyon, os dois maiores sites para venda de temas e plugins respectivamente, lançou um post em seu blog expondo o problema e alertando à todos sobre o problema e, junto com o comunicado, lançou também uma lista de temas e plugins potencialmente atingidos pela vulnerabilidade.

Segundo a lista, centenas de temas comprados por milhares de pessoas em todo o mundo foram afetados pelo problema e o pior é que grande parte dos temas que utilizam o plugin afetado (Revolution Slider) não havia atualizado o plugin desde a correção da falha de segurança, ou seja, o designer/desenvolvedor desenvolve um tema utilizando um plugin de terceiros e sequer tem o cuidado de ficar alerta para o fato de ter sido encontrado qualquer problema de segurança no código de terceiros utilizado no tema e, se viram a atualização, passaram batido ou simplesmente não sentiram vontade de atualizar seus temas.

No dia 03 de Setembro de 2014 a ThemePunch, desenvolvedora do Revolution Slider, lançou um comunicado dizendo que a falha era conhecida, porém foi corrigida há 29 atualizações atrás! Vinte e nove!! Isso significa que o Raimundo da Birosca que desenvolveu um tema para WordPress, embutiu um código de terceiro nesse tema e VENDEU para milhares de pessoas, passou batido em 29 atualizações lançadas desde que a falha foi descoberta. A ThemePunch fez sua parte e corrigiu o código logo após a sua descoberta e tudo estaria muito bem caso os designers/desenvolvedores optassem por obrigar a instalação do plugin e apenas o referenciassem em seu código ao invés de embutir o plugin no tema. Existem facilidades que só geram complicações.

Agora meus amigos, que a barata está voando, as únicas coisas que podemos fazer é verificar se o tema utilizado em nossos sites possui o código vulnerável desatualizado e procurar alguém apto a fazer essa atualização para corrigir o problema. Caso você encontre a vulnerabilidade em seu site, como medida emergencial, troque as todas as senhas do servidor o mais rápido possível. Você já pode ter sido vítima de um ataque e nem está sabendo.

O que podemos tirar de lição de tudo isso é:

  1. Verificar de quem você está comprando determinado tema ou plugin. Mesmo que esteja comprando em lugares grandes e conhecidos como a ThemeForest, saiba que lá existem desenvolvedores independentes que são muito bons e outros nem tanto. Eu prefiro dar preferência para desenvolvedores já conhecidos, como o pessoal do Elegant Themes.
  2. Se você é designer/desenvolvedor, faça o favor de apenas referenciar os plugins que for utilizar em seus temas e não incorpora-los e, caso opte por incorporar por alguma razão, fique sempre atento às atualizações dos plugins que você incorporou e lance atualizações sempre que houver uma.
  3. Se você tem um site em WordPress, fique sempre atento às atualizações para o tema que você utiliza e nunca deixe de atualizar nenhum plugin. Se você não souber verificar o tema, contrate um profissional qualificado para isso ou se qualifique.
  4. Nunca, em hipótese alguma, descuide-se da segurança do seu site. Procure estudar a plataforma que utiliza e, claro, caso você não queira fazer isso, contrate um profissional para garantir sempre a segurança e atualizações do seu site. Vai sair mais barato do que perder todo o seu conteúdo.

A propósito se precisarem de um profissional para revisar o seu WordPress e/ou um bom lugar para hospedar seu site, entre em contato comigo 😉