Segundo dados estatísticos publicados pela Netcraft, mais de 7% de todos os ataques de phishing e 8% de todos os ataques de malware tinham sua origem em sites ou blogs que usavam incorretamente a plataforma WordPress. Apesar do número alarmante, nenhum deles fazia parte do Automattic, o serviço de hospedagem da própria WordPress.
Somente em fevereiro deste ano, a Netcraft já identificou 12 mil sites de phishing rodando em WordPress. É uma pequena gota no oceano de cerca de 27 milhões de sites em todo mundo que usam a plataforma de gerenciamento de conteúdo, mas é um dado alarmante para os riscos de instalações mal-realizadas.
Segundo a Netcraft, o perigo reside justamente na predominância da plataforma, amplamente conhecida pelos hackers. Com uma localização previsível da interface de administração e o mau hábito dos administradores de continuarem se autenticando com o usuário padrão “admin”, estes blogs e sites se tornam um alvo fácil para ataques de força bruta ou engenharia social. Vulnerabilidades estas que poderiam ser facilmente evitadas adotando medidas de segurança para o WordPress.
O estudo também coloca parte da culpa em instalações do WordPress desatualizadas e plugins inseguros. Desde a versão 3.7, o WordPress pode se atualizar automaticamente, mas certos critérios precisam ser atendidos no servidor. E algumas instalações são ainda mais antigas e vulneráveis do que a 3.7.
O problema, conclui a Netcraft, não estaria na plataforma mas em seu uso incorreto. Atualmente, qualquer um, com ou sem conhecimento, pode baixar e instalar a plataforma em seus servidores. E ressalta o fato de que o próprio serviço de hospedagem oficial do WordPress, o Automattic, não aparece nas estatísticas como fonte de phishing ou malware.
