Foco 3: Plug-ins e protocolos de segurança CMS

Nos insights que publicamos nas últimas semanas, focamos alguns dos principais aspectos relacionados à segurança de um site, comércio eletrônico ou blog. entre estes vamos lembrar por exemplo a hospedagem de um site, variável fundamental para garantir o perfeito funcionamento do sistema 24 horas por dia. Mas, como costuma acontecer na web, o quadro completo só pode ser obtido juntando mais peças do quebra-cabeça, por isso não basta parar em apenas hospedagem ou apenas manutenção ordinária. Há outros fatores que determinam a segurança de um site, e entre estes devemos incluir os protocolos dos plugins e plataformas do Sistema de Gerenciamento de Conteúdo, do WordPress ao Joomla!. Plugins e CMS podem de fato se tornar a porta de entrada para ataques e malware, com óbvias repercussões negativas em termos de eficiência do site e perda de dados. Então, vamos ver como prevenir esses cenários e, antes disso, quais são as melhores práticas a serem implementadas.

O QUE SÃO PLUGINS E A QUE PERIGOS ELES EXPÕEM O SEU SITE

O mercado de plugins, nos últimos anos, experimentou um boom impressionante, graças ao apreço do público e à familiaridade que muitos usuários adquiriram com essas integrações. Um simples clique e o plugin está instalado e ativo, pronto para ampliar e ampliar as possibilidades operacionais do site. Da newsletter ao banner de consentimento ao processamento de dados, da clonagem de conteúdo à otimização de imagens, existem centenas e centenas de plugins para qualquer tipo de necessidade. São as mesmas empresas e os mesmos desenvolvedores de software e programas de computador que disponibilizam as funções de seus produtos também em formato de plug-in. Isso permite que os usuários, mesmo os menos experientes, implementem o programa a partir do painel de administração do CMS, por exemplo, para vender um produto online.

Em suma, Os benefícios dos plugins são muitos, a ponto de tornar essas ferramentas quase indispensáveis. Mas, além dos benefícios, existe um problema que deve ser entendido e gerenciado corretamente: a segurança. Por quais motivos os plugins podem se tornar um perigo para o seu projeto digital? Vamos tentar responder com uma pequena lista de casos recorrentes:

•  o plugin não vem mais atualizado, e isso cria uma falha que os hackers podem explorar a seu favor, "entrando" no site e inserindo linhas de código malicioso (para redirecionar produtos, pesquisas, deletar páginas inteiras, etc.)
• o plugin original vem copiado e manipulado, apenas para ser carregado em um site criado por um cracker com o objetivo de induzir as pessoas a acreditar que estão baixando o plug-in real. Nesse ponto, a instalação do plug-in corre o risco de comprometer todo o site.
• o plug-in vem excluído do diretório oficial, mas permanece instalado em seu site. Essa eventualidade costuma acontecer no WordPress, o CMS mais usado e famoso do mundo. Em poucas palavras, a equipe por trás do WordPress pode decidir remover um plugin do diretório oficial quando encontrar incompatibilidades ou outros elementos dignos de nota. Nesse ponto, o plug-in não será mais atualizado e isso, novamente, colocará em risco aqueles que ainda usam esse plug-in em seu site.

COMO ANALISAR PLUGINS E PADRÕES DE SEGURANÇA

Existem vários melhores práticas que podem ser implementados para aumentar a segurança do site sem abrir mão da comodidade dos plugins. Embora atualmente não exista um protocolo universal para o desenvolvimento de plugins que garanta sua autenticidade e qualidade, certamente não faltam cuidados que todos devemos seguir. Quanto mais certezas tivermos, maior será o padrão de segurança do plugin, quanto menos certezas encontrarmos, maior o risco de baixar as defesas imunológicas do site após a instalação do plugin. EU'análise deve, portanto, considerar os seguintes pontos:

• data da última atualização do plugin (se obsoleto, o risco aumenta, se recente, o risco diminui)
• compatibilidade com a versão mais recente do WordPress ou outro CMS
• comentários de pessoas que baixaram o plug-in
• documentação técnica disponível
• comentários do usuário e respostas do desenvolvedor
• site oficial do plugin ou da empresa que o desenvolveu

Nem é preciso dizer que uma verificação feita com um pouco de bom senso permite entender com certa precisão se o plugin é confiável ou não. As avaliações são negativas? O desenvolvedor não está respondendo às perguntas? Faltam os documentos necessários? A data da última atualização foi há alguns anos? Melhor deixar para lá…

A SEGURANÇA DE UM SISTEMA DE GERENCIAMENTO DE CONTEÚDO

Agora que vimos detalhadamente os requisitos para identificar um plugin seguro, passemos à questão do Content Management System, ou seja, o sistema de administração de conteúdo de um site ou espaço virtual (landing page, fórum, blog, etc.). Aqui também não seria necessário um guia, mas um livro inteiro, porque cada CMS é diferente dos outros, e padrões de segurança mais ou menos altos foram alcançados para cada CMS, dependendo da atualização atualmente em uso. Se atingimos recentemente a versão 5.0 para WordPress, por exemplo, para Joomla! ainda estamos em 3.9, enquanto para o Magento estamos próximos de 2.4. Atenção, isso não significa que a segurança é maior se o número da versão for maior: alguns CMSs simplesmente nasceram depois, portanto você precisa conhecer bem a evolução de cada um e interpretar os humores da rede, lendo o que está escrito sobre o último atualizar.

É claro que não será apenas nisso que basearemos nossas previsões. Se queremos obter o máximo em termos de segurança, devemos nos esforçar para manter a plataforma CMS atualizada para a versão mais recente: quanto mais nos afastamos da última atualização lançada, maiores serão os riscos para a segurança do site, novamente devido aos buracos que são criados e nos quais alguém pode escorregar.

Como atualizar um CMS sem correr riscos

A atualização de um CMS não é uma operação para ser abordada levianamente, especialmente se for um lançamento importante (como a versão mais recente do WordPress). A melhor estratégia é faça backup de seus dados antes de baixar e instalar a nova versão. Isso porque pode haver conflito entre tema e CMS, ou entre plugin e CMS, com risco de perda de conteúdo, traduções, imagens e muito mais. Para a função de backup você consulte o capítulo anterior dedicado à manutenção ordinária e extraordinária de um site.

CMS COMUNS, GERENCIAMENTO DE PROPRIETÁRIOS OU SITES WYSIWYG?

A última pergunta que queremos fazer a você no campo da segurança diz respeito à diferença entre os CMSs comuns (precisamente WordPress, Magento, Joomla! e outros), os chamados sistemas de gerenciamento proprietários e sites do tipo "o que você vê é o que você obtém " tipo (de Jimdo para Wix via Weebly e outros). Aqui está um resumo da abordagem de segurança de cada alternativa, conforme refletido em nossas décadas de experiência na área de desenvolvimento e manutenção de sites.

•  CMS comum: como vimos, a responsabilidade de configurar um ambiente saudável e seguro está nas mãos da equipe que trabalha nas atualizações do CMS, mas também na pontualidade de quem monitora as atualizações do CMS e dos plugins.
• Gestão proprietária: se o site for desenvolvido com plataformas ou códigos pertencentes a uma agência web ou web master, a segurança passa quase totalmente para as mãos do responsável de plantão, que deverá garantir o cumprimento integral dos padrões de proteção adequados.
• Sites What You See Is What You Get: estas soluções representam um cruzamento entre os CMS mais populares e os sistemas de gestão privados, porque permitem ao utilizador controlar e gerir o seu próprio site, simplesmente arrastando os conteúdos para a página. A responsabilidade pela segurança, neste caso, são as empresas que desenvolvem soluções WYSIWYG, mas atenção, pois conforme o plano de assinatura, a assistência pode ser suficiente, boa ou quase totalmente ausente.

Nossa terceira parcela termina aqui. O próximo estudo se concentrará em um tópico altamente atual: processamento de dados e responsabilidades pessoais para usuários que visitam nosso site, comércio eletrônico ou blog de boa fé. Preparar? Continue nos acompanhando, até breve!