O fato desse post estar no blog da convenção carioca de WordPress e de termos falado anteriormente dos grandes sites que rodam WordPress já entrega a resposta:
Sim, WordPress é seguro.
Meu objetivo aqui hoje é, sem qualquer tipo de demagogia ou fanboyismo, explicar para você o que faz do WordPress um CMS seguro e confiável.
E de quebra vou buscar explicar também de onde vem esses depoimentos que afirmam, levianamente, que a segurança do WP não é lá essas coisas.
Mas antes de entramos no texto…
Está com pressa e chegou aqui procurando um argumento de autoridade para colar numa discussão inflamada no Facebook? Fica com esse aqui antes de começarmos a falar mais sobre o tema:
“O site do evento de segurança de TI da Universidade Federal do Rio de Janeiro, a Conferência Anual Orientada à Segurança, é WordPress desde a primeira edição e está aí firme e forte.”
Ok, agora sim, vamos ao post:
WordPress e seu contexto de segurança
Quando o assunto é WordPress, segurança é encarada com muita seriedade.
Entretanto, como em qualquer outro sistema, existem questões de segurança que podem surgir se precauções básicas não forem tomadas.
Ainda que nosso objetivo aqui não seja entrar nos detalhes de “como deixar seu WordPress mais seguro”, fica a indicação de muitos outros posts e materiais justamente sobre isso.
Seguir essas dicas (e outras que separei no post) vai, sem dúvida, te fazer dormir mais tranquilo.
Fundamentos da segurança da informação e sua relação com WordPress
No 15º WordPress Meetup do WP Rio, Gabriel Subtil apresentou sua palestra “Um tapa na cara da segurança” e falou sobre conceitos básicos de segurança da informação, bem como motivos para você se importar com a segurança do seu site WordPress.
Nessa apresentação, Subtil apresenta a seguinte definição de segurança:
“Conjunto de processos, de medidas que asseguram o sucesso de um empreendimento, do funcionamento, da execução de algo.”
E logo no slide seguinte ele apresenta os três pilares da segurança da informação, que são os seguintes: Confidencialidade, Integridade, Disponibilidade.
Vamos entender como esses três pilares se relacionam com WordPress:
WordPress e Confidencialidade
Confidencialidade é a garantia de que determinada informação só possa ser acessada por pessoas autorizadas.
Em termos gerais, isso quer dizer que só você e os usuários cadastrados no seu site WordPress devem ter acesso ao painel. Importante lembrar que existem níveis de usuários específicos com níveis de acesso também específicos.
WordPress e Integridade
Integridade é a garantia de que determinada informação está segura em relação a sua estrutura, ou seja, que se mantenham confiáveis e exatas.
Resumindo: você precisa ter a certeza de que seus tão suados posts, páginas e layout estão no mesmo lugar que você deixou pela última vez.
O WordPress te garante sistematicamente essa integridade, mas divide essa responsabilidade com o servidor que você contratou e com sua capacidade de não fazer besteira. 😉
WordPress e Disponibilidade
Disponibilidade é a garantia de que os usuários autorizados do sistema possam, sempre que necessário, acessar e interagir com os dados armazenados.
Pra fechar: disponibilidade é garantir que sempre que você precisar o seu site vai estar lá, completamente funcional.
WordPress está sobre esses três pilares, e o bom senso é sempre o seu maior aliado
Fundamentalmente, segurança não é sobre sistemas absolutamente seguros. Tal coisa não é prática, ou impossível de desenvolver/manter.
O objetivo é sempre a redução máxima do risco, não a sua eliminação.
O que eu quero dizer aqui é que, numa luta desenfreada para ter conferir confidencialidade e integridade, em determinado momento você vai acabar sacrificando a disponibilidade do seu sistema.
O que você precisa é empregar todos os recursos disponíveis, dentro do bom senso, de modo a melhorar a postura do seu site, diminuindo suas chances de ser percebido como um alvo e consequentemente hackeado.
Lembrando também que se você deu mole com seu computador e deixou um keylogger entrar não vai ter segurança de servidor que te salve, né?
WP 3.7 e atualizações automáticas
A comunidade WordPress é enorme. Isso faz com que potenciais falhas de segurança sejam descobertas e consertadas com muita velocidade.
Da versão 3.7 pra cá (já estamos na 4.6) o sistema passou a contar com atualizações de segurança automáticas. Isso quer dizer que falhas descobertas no core são consertadas quer você queira ou não. 🙂
Isso faz o core do WordPress, a ferramenta por trás dos mais de 8 milhões de sites do WordPress.com, um sistema realmente seguro e confiável.
Mas nem tudo sempre foram flores, é verdade
Sete anos atrás — ou seja, milênios em tempos de internet — quando o WordPress estava começando a se mostrar como uma plataforma promissora de desenvolvimento de sites, foram feitas críticas duras, mas honestas, em relação a segurança do sistema.
O core team reagiu rapidamente a essas críticas em pouco mais de 30 dias foram lançados quatro updates significativos que corrigiram essas falhas. E de lá pra cá a situação só melhorou.
Sei que é um argumento simples mas, afinal de contas, não faz sentido que um sistema inseguro seja o mais utilizado do mundo né?
Sua responsabilidade com seu o site
Quem mora no Rio acaba aprendendo que a primeira regra pra não rodar é: não dar mole na rua e ralar peito se os maluco tiver te filmando.
Peguei pesado no carioquês agora, desculpe.
O que eu quis dizer é que se você mora em grandes centros urbanos, está acostumado a tomar certas medidas preventivas de segurança pessoal.
Portanto, da mesma maneira que você:
Não faz live do carnaval com seu iPhone…
Evite ao máximo fazer seu site parecer vulnerável. O termo correto é “segurança através da obscuridade” e a ideia aqui é desviar do golpe pra nem precisar se preocupar com a defesa.
Tranca a porta ao sair de casa…
Seja responsável com seu login e senha, mané. Username “admin” e senha fraca dá no mesmo que deixar a porta de casa escancarada.
Não convida qualquer um pra sua festa…
Fique de olho em plugins e temas suspeitos e não venha reclamar que seu site foi invadido depois de instalar plugin pirata.
Se foi você quem colocou a ameaça dentro de casa a culpa não é do pedreiro que construiu ela, né? Por favor…
Conclusão
O WordPress por si só, é uma ferramenta madura, segura e confiável. Mas segurança é sempre uma responsabilidade compartilhada.
E nunca podemos esquecer do seguinte: a Internet e todas essas nossas tecnologias conectadas são, juntas, um organismo vivo.
Ignorar essa natureza viva e descuidar de atualizações é algo que nenhuma empresa ou organização, seja lá qual software utilize, pode se dar ao luxo de fazer.
A internet, assim como o mundo, tem sua parcela de babacas.
O WordPress se defende sozinho delas, tenha total certeza.
Mas não facilite.