Vulnerabilidades CMS - Sites desenvolvidos com WordPress e Joomla

Atualmente criar e manter um site, sem que se tenha qualquer conhecimento de programação, é uma realidade ao alcance de muitas pessoas. Isso é possível em grande parte à popularização dos CMSs (Content Management System), que nada mais são do que sistemas em que determinados tipos de conteúdo podem ser gerenciados, bem como uma série de funcionalidades incluídas (aparência, ferramentas, recursos do site, etc).
Entre os mais populares CMSs, estão o WordPress e o Joomla. São sistemas robustos na medida em que lhe oferecem inúmeras possibilidades para criar um site. Mas esta versatilidade e popularidade tem um preço, o qual muitas vezes pode ser bem elevado - a vulnerabilidade do site criado com base nestas plataformas.
Os fatores de maior destaque associados aos problemas de segurança são:
1) Por serem os CMSs mais usados em suas respectivas categorias, é muito fácil encontrar um site que use o WordPress ou Joomla como plataforma de desenvolvilmento e consequentemente uma "vítima" em potencial.
2) Ambos são OpenSource (código aberto), fazendo com que o código que os compõe seja de conhecimento de qualquer um que se interesse. Assim a facilidade de alteração do código está ao alcance de qualquer pessoa, bem como as falhas que permitem aos hackers (na verdade crackers) literalmente apropriar-se de uma conta.
3) Por suas características, qualquer pessoa / empresa pode criar componentes, temas, plugins, etc, para os CMSs. Grande parte deste material complementar é desenvolvido muitas vezes sem preocupação com boas práticas de programação e questões de segurança. Esta particularidade tem feito com que algumas das extensões criadas, sejam feitas com o objetivo principal de introduzir propositalmente uma vulnerabilidade na aplicação ou um caminho fácil de invasão. Sendo assim, atualmente é comum encontrarmos temas que são a principal via de exploração de um site.
4) Em consequência de sua natureza não comercial, não existe um forte compromisso por parte das entidades mantenedoras dos CMSs, em corrigir rapidamente eventuais falhas de segurança que são identificadas pelas comunidades. Semanas ou até meses são necessários para que uma atualização de um problema grave seja publicada. Os "bandidos" virtuais não precisam de todo este tempo para aproveitar-se. Como agravante, as atualizações muitas vezes tem que ser feitas manualmente ou dependem de uma ação do responsável pelo site, aumentando assim a exposição da conta a alguém mal intencionado.
5) Usar extensões (plugins, temas, complementos, etc) sem que se conheça a sua procedência, requisitos e recomendações, aumenta sensivelmente as chances de introduzir vulnerabilidades no seu site. Você não coloca qualquer pessoa sem que a conheça bem dentro da sua casa. Por que então, instala qualquer componente no seu site? Só porque é de graça?! Cuidado! É neste princípio que se apoiam os "gatunos".
6) Parcela significativa das pessoas que adotam o WordPress ou Joomla como base de desenvolvimento para seus sites, tem conhecimento técnico bem básico, justamente pelas "facilidades" que eles lhe oferecem na criação / manutenção do site. No entanto, por esta característica, estas pessoas muitas vezes abandonam as atualizações da plataforma de desenvolvimento, que são fundamentais para corrigir as falhas de segurança presentes em versões mais antigas.
De fato, se você dispõe de alguns minutos, dependendo de como e o que pesquise, encontrará um vastíssimo material para invadir sites baseados em WordPress ou Joomla. Dependendo da sua vontade de "aprender" e se não tiver muito juízo no acesso a determinados sites, rapidamente você pode se tornar um expert em invadir sites construídos nesta plataforma.
Sem exagero, é MUITO, MUITO, MUITO fácil explorar uma conta baseada nestes CMSs. O "trabalho" só não é mais fácil, porque a quantidade de sites existentes feitos em ambos, é muito grande e assim, os invasores não conseguem dar conta de todos. A seguir apenas um link - entre literalmente centenas - em que se pode encontrar um arsenal de ferramentas para explorar um site baseado em Joomla:   http://www.exploit-db.com
Se você quer fazer parte do grupo daqueles que lutam para melhorar as aplicações, a tarefa não é das mais fáceis, já que ao que parece, os que trabalham para corrigir os problemas não conseguem fazer com que a informação chegue aos interessados de forma tão eficiente. Na verdade, a maior parcela de "culpa" está nas mãos dos usuários destas ferramentas, que deveriam interessar-se mais por repassá-la aos demais.

  • 21095 Usuários acharam útil
Esta resposta lhe foi útil?

Related Articles

Joomla - Aprenda como manter o seu Website seguro

Periodicamente os desenvolvedores do Joomla lançam atualizações que corrigem bugs, vulnerabidades...

Este site pode danificar o computador

Quando é apresentado este erro ao realizar a busca de seu site no Google, significa que ele foi...

Verificando vulnerabilidades em aplicações Web

Objetivos da análise de vulnerabilidade: Essa documentação visa descrever os tipos de...

Site decetivo! - Phishing, Malware ou Software não solicitado.

O alerta do google ( Site decetivo! ) se dá pelo fato de usuários que denunciaram seu dominio...

Ao acessar o meu site, meu sistema de anti-virus acusa perigo. O que fazer?

Este tipo de mensagem ocorre quando algum sistema identifica um arquivo perigoso em sua aplicação...