Símbolo do WordPress e um cadeado ilustrando a segurança do sistema

O WordPress é seguro mesmo?

Utilizando o WordPress desde 2007 e participando de muitos eventos, grupos em redes sociais, fóruns e afins, algumas perguntas acabam se tornando bem repetitivas para mim, e o assunto deste post é uma delas.

Nada contra a pergunta, quem utiliza o WordPress a pouco tempo ou ainda não conhece o sistema sempre vai se fazer esta pergunta, ainda mais se acreditar em papai noel, coelhinho da páscoa ou mídia não especializada que cria post com título caça-clique e te leva pra um conteúdo que não tem nada a ver com a sua real dúvida (Não isso não foi uma indireta, mas um raio-x de muitos sites que existem de verdade).

Se você está em dúvida sobre escolher o WordPress ou não para fazer o seu site porque leu por ai que milhares de sites feitos em WordPress foram invadidos, esse post é para você, sem papas na língua, sem sensacionalismo, sem vender algo que não se compromete com a verdade e gera pânico por ai. E sem ser idiota ao ponto de falar “É bom pq eu falei que é bom, pq eu uso, pq eu só sei fazer nele e tenho que vender meu peixe”.

Imagem mostrando o logo do WordPress e um cadeado branco ao seu lado, ilustrando o conceito de segurança.

Quando falamos de WordPress, estamos falando de um sistema de gerenciamento de conteúdo feito com linguagem PHP (e muito javascript tb) e banco de dados MySQL (ou MariaDB, que é a mesma base de MySQL, para explicar de forma sucinta), linguagem essa que foi feita para rodar bem em ambiente (leia-se hospedagem ou infra-estrutura) Linux (funciona em hospedagem com Windows, mas não é o ideal). Então, estamos falando além de linguagem de programação, falamos também de banco de dados e servidor.

Quando se analisa este tipo de coisa é importante separar alguns pontos, vamos a eles:

O WordPress

O WordPress é um CMS popular, o mais utilizado dos dias de hoje, com uma gama enorme de bons desenvolvedores colaborando além de estar no “guarda-chuva” da Automattic, que possui vários outros produtos também (ex: gravatar, cloudup, vaultpress, woocommerce), portanto é algo confiável, sério, o carro-chefe de uma empresa que tem mais de 1000 funcionários e uma das maiores comunidades ativas no cenário web mundial.

Nada é a prova de falhas, serem humanos cometem erros, mas o WordPress é um sistema que lança muitas atualizações a cada ano, e grande parte do foco disso é a segurança do sistema. Pessoas trabalham incessantemente em testes de segurança, milhões de usuários pelo mundo utilizam o WordPress (mais de 43% da web segundo dados do w3techs em novembro de 2023) e dão seus feedbacks sobre isso, então já existe uma grande preocupação com isso e um ótimo trabalho sendo executado, que mantém o sistema sempre o melhor possível.

Infelizmente, falando de mundo real, o sistema é atualizado mas nem sempre quem utiliza o sistema em seus sites o mantém atualizado, e logicamente versões obsoletas são mais fáceis de serem invadidas já que o problema corrigido na versão 4.1, por exemplo, continuaram abertos se você se mantiver na 4.0 ou inferior e foi claramente dito qual era o problema corrigido nas notícias de atualização do sistema.

Segundo dados do w3techs (lembrando que este post foi escrito em 01/2016), 84,4% dos sites com WordPress estão rodando a versão 4.x (quatro ponto alguma coisa), 14,9% utilizando a 3.x e 0.7% ainda estão esperando o fim do mundo no final de 2012 e utilizando versões abaixo da 2.x. O WordPress não tem culpa se você não faz sua parte pra manter o ambiente seguro.

Plugins para WordPress

Preciso adicionar uma funcionalidade no meu site, o que eu faço? Contrato um desenvolvedor especializado para fazer ou pesquiso bastante para encontrar um bom plugin (gratuito ou pago) que faça o que eu preciso?

Infelizmente, a maioria baixa o primeiro plugin que achou, sem saber se quem fez tem o conhecimento técnico necessário para fazer algo baseado em alguns preceitos mínimos da engenharia de software como manutenibilidade e qualidade, respeitando itens importantes como performance, segurança, etc.

Os plugins que você instala, tirando algumas exceções, não foram feitos pela mesma equipe que fez o WordPress ou por especialistas de fato, tem muito curioso que faz também, então você não pode confiar cegamente em quem você mal conhece e tem garantias de que faz um bom trabalho. Não estou aqui falando que quem não sabe não tem que fazer, que fique bem claro. Tem que fazer sim, mas também colher as opiniões dos seus usuários e trabalhar num processo constante de melhoria.

Sim, tem bons e ruins, mas você analisa tecnicamente cada um que usa? Olha ao menos a quantidade de votos e compatibilidade do plugin no repositório oficial de plugins?

Boa parte dos posts que você ve por ai falando que milhares de sites em WordPress foram invadidos falam isso no título (claro, chama atenção) e no meio do texto sempre dizem que isso foi causada por vulnerabilidade no plugin XPTO que já lançou uma atualização para corrigir a falha algumas horas depois de saber do problema. Mas você mantém seus plugins atualizados, além de saber escolher?

Temas (layouts) para WordPress

Imagem ilustrando uma mesa de designer, criando um tema WordPress em seu iMac

Seja tema pronto comprado, tema gratuito baixado por ai ou contratar um desenvolvedor para fazer algo sob medida é outro ponto capital. Tirando os temas disponibilizados no repositório oficial de temas, você também não tem 100% de certeza se é algo bem-feito.

Sim, tem bons e ruins, mas você analisa tecnicamente cada um que usa (tema ou qualidade do trabalho do dev contratado)?

Na hora de fazer um tema para seu site em WordPress, você contrata um desenvolvedor realmente bom, ou decide pelo preço, contratando qualquer um?

Você acredita em vendedor de loja que diz que toda roupa ficou boa em você, que a Xuxa usa Monange ou que aquela escada revolucionária que vende na TV vai resolver a sua vida? Então liga lá pro 011 1406 e adquire o seu, e depois não diz que eu não avisei que Isso non ecsiste e você tá agindo movido pela emoção, e não pela racionalidade.

Escolher pelo preço nem sempre é a melhor forma, o ideal é você buscar referências sobre os profissionais (freela ou empresa que diz que sabe) para saber se realmente você vai ter um bom trabalho feito.

Este artigo foi escrito originalmente em janeiro de 2016, e desde essa época observo que alguns temas badalados por vezes são tecnicamente defasados e podem criar problemas sérios no curto prazo. Um exemplo: Nesta época, observei que ainda tinhamos desenvolvedores que utilizam funções que a própria documentação do WordPress diz para não utilizar.

Não acredita? Então lê o primeiro parágrafo da página da função query_posts na documentação oficial, o codex, com esta nota escrita em 2013:

Note: This function isn’t meant to be used by plugins or themes. As explained later, there are better, more performant options to alter the main query. query_posts() is overly simplistic and problematic way to modify main query of a page by replacing it with new instance of the query. It is inefficient (re-runs SQL queries) and will outright fail in some circumstances (especially often when dealing with posts pagination). Any modern WP code should use more reliable methods, like making use of pre_get_posts hook, for this purpose.

Traduzindo para o bom português sem papas na lingua, ela diz assim: Ô malandrão, tá consultando como utilizar essa função? NÃO, tá errado, nem é mais pra usar ela em plugins ou temas. Depois teu site fica com performance cagada e tu vai culpar o sistema, mas a culpa vai ser sua que não lê a porra do primeiro parágrafo. 

Ainda sobre temas, e os temas pagos (vendido em sites como ThemeForest) que você pode baixar pirata (achar ele de graça na web) ou compram no mercado livre?

A grande maioria vem alterado e com scripts maliciosos no meio para criar brechas intencionais, além de não te dar direito a suporte de quem fez o tema, então é pedir pra dar M!

Fora que você está sendo moleque e desrespeitando o trabalho de quem faz e vive disso. Parece coisa boba, mas imagine que você trabalha com algo que podem não te pagar e ter mesmo assim, você vai gostar?

Respeite o trabalho alheio, sempre.

Hospedagem

Você confia tecnicamente na que você contratou para hospedar o seu site, tem boas referências técnicas dela, ou está acreditando em papo de vendedor, em comercial de televisão, ou decidindo só pelo preço de novo? Sabe de nada, inocente!

Vou fazer uma analogia aqui: quero fazer uma festa de reveillon para 200 pessoas, o que devo fazer?

  • Opção A – Alugar um kitnet?
  • Opção B – Alugar um apartamento grande?
  • Opção C – Alugar um salão de festas?

Você pode ouvir 1 hora de ‘Uba Uba Uba hey‘ enquanto pensam na resposta, pq essa é difícil! 😛

Eu não sei meu caro leitor, mas eu iria de C ou B, nessa ordem, pois sei que kitnet não vai caber né…

Pois é, é isso que fazem na escolha da hospedagem: muitos já sabem de começo que vão criar um site que terá um grande tráfego de pessoas, ou ouvem de quem vai fazer o site que vai ter uma série de requisitos técnicos que vão exigir muito do servidor ou q o atual (ou o preferido) não deve dar conta, mas mesmo assim escolhem a hospedagem mais barata de R$10 por mês (ou pasmem, hospedagem gratuita), aí o site cai e a culpa é do desenvolvedor.. será mesmo? Ou é culpa do jeitinho da cultura do “Se preocupa não, quando cair a gente pensa nisso”..

Infra-estrutura é algo sério e que deve ser decidido pelo requisito técnico e funcional, e não pelo preço. Claro que o valor mensal vai influenciar, mas existem várias opções sempre, e se você quer sempre o site no ar aguentando o tranco, você vai precisar da estrutura adequada.

Conclusão

O WordPress é ótimo, as falhas do sistema mesmo são rapidamente corrigidas. Sim tem falhas, 100% seguro nunca existe, mas nunca vi 1 caso de invasão por falha do sistema mesmo (tirando aquela galera q usa versão defasada e acaba pedindo pra verem o q corrigiram na versão seguinte e usar esses dados pra invadir).

Quem sabe manter tudo atualizado e faz seu dever de casa, raramente vai ter problemas. A maioria dos problemas que já aconteceram passam pelos pontos levantados acima, e por você não fazer seu dever de casa.

Mas como manter o WP ainda mais seguro?

Acho que ia sair sem uma dica no final? Bobinho, claro que não!

Falei que nada é 100% seguro, é no máximo 99% (anjo, perfeito, mas aquele 1% é vagabundo, safadão e elas gostam), então como faço pra me garantir mais ainda?

O amigo Rafael Funchal criou um ótimo Checklist de Segurança no WordPress que é ótimo, que é essencial você seguir antes de dar como pronto seu novo site WordPress. Leia todos os itens, faça um por um, SEMPRE!

Cito também o excelente plugin SolidWP, que te ajuda a implementar várias medidas de segurança presentes no checklist acima.

E se você ver por ai alguém fazendo essa pergunta, sinta-se livre para mandar este link para esta pessoa, além de deixar seu comentário bonitão aqui embaixo pra enriquecer ainda mais nossa conversa e compartilhar suas ideias sobre este tema com nossos visitantes.. é assim que o WordPress cresce e se mantém bonzão, lembra?

Posts Similares

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

12 Comentários

  1. Olá Guga um ótimo artigo este.

    Eu tenho uma dúvida quando a segurança do WordPress, mas não sei se você poderá me responder.

    É que estou recebendo uma mensagem pedindo para que o servidor serja atualizado para o PHP5, o WordPress não atualiza o PHP? Creio que já estamos em uma versão acima de 5. Isso está me deixando intrigado, não consegui encontrar resposta ainda.

    Você sabe me dizer alguma coisa sobre isso. Te agradeço muito se puder me ajudar.

    1. O WordPress não atualiza o seu servidor, ele não tem como atualizar qualquer outra aplicação.
      PHP abaixo do 4 é antigo demais e não deveria ser utilizado para mais nada, o ideal é você atualizar para o PHP7.

      Update: atualizando esse comentário em 2023 para citar que agora o recomendado é usar no mínimo o PHP 8.2 !

  2. “O WordPress é ótimo, as falhas do sistema mesmo são rapidamente corrigidas. Sim tem falhas, 100% seguro nunca existe, mas nunca vi 1 caso de invasão por falha do sistema mesmo”

    Existe uma contradição nessa afirmação, se nunca viu um caso de invasão, logo é 100% seguro, que tals?

    1. Não pois vi casos de invasão sim mas com culpa de terceiros que criaram temas e plugins malfeitos, mencionei não ver invasão por falha no sistema puro e utilizando apenas os temas e plugins oficiais.

    1. Fico feliz ao ler isso Vitor!
      Boa parte do conteúdo sobre WordPress desse site é do antigo “Tudo Para WordPress”, site especializado no tema que mantive no ar por 15 anos. Com o fim dele, todos os artigos foram migrados para cá então tem muita coisa boa guardada por aqui sim!