Outra dica para ficarmos de olho está relacionada ao entendimento de como o código malicioso se aproveita para iniciar seus trabalhos em sites WordPress vulneráveis. Assim podemos evitar abrir brecha. É um pouco sobre isso que escrevo nesse POST.
Entenda o mecanismo
Normalmente é um processo em grande parte automatizado por sistemas preparados pra isso, mas que só vão ter sucesso, dentre outras, nas seguintes condições:
Condição 1 – Permissões
As permissões dos arquivos foram alteradas pelo administrador desavisado, dando permissão para quem não deveria.
Então muita atenção quando algum plugin ou tem algum erro e, para resolver, os tutoriais orientam ajustar as permissões. Existem incontáveis tutoriais condenáveis mandando colocar tudo 777 (isso é escancarar a segurança, como pendurar todas as chaves no portão na frente de casa).
Basta os robôs de varredura, que trabalham dia e noite (simples como um visitante acessando o site), descobrirem que determinado site está escancarado, e automaticamente ele vai executar um arsenal de explorações conhecidas até conseguir entrar mais a fundo.
Dica de como se proteger
Então a maneira de se proteger é entender como funcionam as permissões e monitorar para que estejam sempre em ordem. Aqui nesse link tem orientações do próprio wordpress.org sobre como devem estar as permissões em um site WordPress. E para quem administra servidores linux, aqui nesse post mostro um pouco mais detalhes sobre como isso funciona.
Condição 2 – Backdoor
A própria pessoa que ‘monta’ o site introduz um backdoor sem saber. Isso infelizmente acontece muito. Nesse caso, mesmo com as permissões OK, e outros mecanismos de segurança também OK, a backdoor já está lá, camuflada e prontinha esperando conexão de quem explorar, sejam humanos ou robôs. Daí basta os robôs explorarem injetando mais código malicioso através da backdoor e o cenário está montado para inúmeros tipos de atividade maliciosa ao mesmo tempo.
Dica de como se proteger
A maneira de se proteger é sempre olhar o código e buscar apenas plugins/temas oficiais do wordpress.org, que tenham reputação a zelar. Desconfiar sempre de plugins muito bons e gratuitos ou muito baratos.
Condição 3 – Novas vulnerabilidades
Algum dos componentes do site ou servidor até então seguro passa a estar vulnerável. Pode ser o sistema operacional, banco de dados, webserver, php, WordPress, plugins, temas… enfim, uma infinidade de componentes.
Pesquisadores e programadores passam dia e noite descobrindo erros em seus códigos e corrigindo, e quando publicam a correção o criminoso estuda e desenvolve o código da exploração para todo mundo que não atualizar o dado sistema com a última versão corrigida. Além disso, normalmente ele treina os robôs para varrerem a internet atrás de sites executando a versão. Essa informação é tão fácil de obter quanto uma simples visita a um site. Por exemplo, aqui nesse link até pouco tempo atrás era possível saber, em milésimos de segundo, qual a versão desse plugin usado aqui no BLOG. Agora me diga: quanto tempo você acha que um desavisado leva pra atualizar um componente vulnerável pra última versão segura? Às vezes anos…
Daí os robôs exploram e injetam ainda mais códigos maliciosos dentro dos interesses de quem comanda essas redes maliciosas.
Dica de como se proteger
Então a maneira de se proteger é mantendo *tudo* sempre o mais atualizado possível.
Condição 4 – Zero-days
Algum componente vulnerável e nenhum dos interessados em corrigir sabe disso. São as chamadas vulnerabilidades “Zero-day”. Nesses casos apenas especialistas muito bem pagos conseguem se proteger, e mesmo assim muito desafiador. É por esses caminhos que muitos criminosos atuam nesse exato momento sem nem mesmo estarem sendo monitorados ou investigados. Estão completamente incógnitos.
Dica de como se proteger
Então não tem muito o que fazer a não ser monitorar a ‘pegada’ – footprint – atividade estranha no servidor. Se a vulnerabilidade estiver sendo explorada para efetuar tarefas leves, dificilmente será percebida, agora se estiver consumindo muito recurso, fica mais fácil de perceber. Normalmente WAFs (que são firewalls de aplicação web, tais como como Wordfence ou Cloudflare) ajudam nisso pois fornecem métricas interessantes.
Concluindo
Então é mais ou menos por aí. Existem ainda inúmeras outras condições. Essas quatro foram as primeiras que me vieram em mente ao escrever esse POST. Quanto mais conhecimento for obtido nessa área e melhor forem implementados os controles, mais seguro é o site. E quanto mais seguro, melhor é a continuidade do negócio ao qual o site pertence. Também mais fácil a atuação de analistas de segurança para uma resposta rápida caso algo aconteça, o que também é fundamental.
Ao mesmo tempo, mecanismos de segurança são importantes e podem ajudar, mas estão longe de ser garantia de segurança. É como se comparássemos com vigilantes ou câmeras de segurança. Melhoram a sensação de segurança e ajudam a resolver alguns problemas pontuais, mas sabemos que de certo tempo pra cá nós vemos a transmissão de barbaridades acontecendo justamente pelas imagens de câmeras de segurança. Elas não impedem, apenas registram.
Cabe a cada um de nós fazer nossa parte em busca de conhecimentos necessários e segurança nesse território perigoso que sempre foi a Internet. Assim ao menos nossos sites WordPress estarão um pouco mais seguros.
Como sempre, obrigado pela leitura.