Profissional do WordPress: Uma entrevista com o CEO da WP White Security, Robert Abela

Roberto Abela, quem é você?! Apresente-se, por favor!

Desde criança me interesso por computadores. Quando eu tinha uns 8 ou 9 anos meu tio trouxe para casa um Atari, e costumávamos jogar nele.

Desde então, meu interesse cresceu e ganhei meu primeiro computador (Amiga 500+) no qual costumava escrever alguns programas básicos.

Depois veio o PC (eu tinha um 486 DX4), e depois a internet. Depois de quebrar meu computador muitas vezes, abandonei a faculdade de engenharia eletrônica e consegui meu primeiro emprego em TI como testador de software em uma empresa internacional de software. 14 anos depois de conseguir meu primeiro emprego corporativo, fundei minha própria empresa, a WP White Security.

Como você começou a usar o WordPress? Quando foi e o que você estava fazendo com isso?

Conheci o WordPress durante meu último trabalho corporativo em tempo integral como gerente de produto na Acunetix. Precisávamos de um blog para documentar nossas descobertas de pesquisa e começamos a usar o WordPress.

Quando começamos a usar o WordPress, percebemos que havia muitas oportunidades no setor de segurança do WordPress. Como éramos uma empresa de software de segurança de aplicativos da Web, até criamos um serviço de segurança WordPress chamado Website Defender. Infelizmente o produto nunca decolou, mas considerei uma boa oportunidade para aprender ainda mais sobre o ecossistema WordPress.

Tudo isso foi o suficiente para me fisgar e assim nasceu a ideia do WP White Security. Como minha experiência anterior foi em segurança, iniciei o WP White Security como um blog de segurança . Também oferecemos serviços de segurança WordPress, como limpeza de sites invadidos, auditoria de código-fonte, fortalecimento da segurança de sites WordPress e outros trabalhos semelhantes.

Mais tarde, comecei a aprender a escrever código e tive o caso de uso perfeito: um plugin de logs de atividades do WordPress. Eu sempre desejei que os proprietários de sites tivessem esse plugin instalado antes de seu site ser invadido. Teria tornado a vida muito mais fácil naquela época!

Essa foi toda a motivação que eu precisava para começar a desenvolver a primeira versão do WP Activity Log. Quando o plugin começou a ganhar força, paramos de fornecer serviços de segurança e focamos totalmente no desenvolvimento de plugins para WordPress. O resto é história.

Você desenvolveu vários plugins de segurança. Por que você decidiu se concentrar no WordPress?

Tudo aconteceu naturalmente.

Como minha formação era em segurança de aplicativos, anteriormente sempre trabalhei para empresas de software de segurança. Quando descobri o WordPress na Acunetix, vi uma boa oportunidade de me envolver e fazer algo no WordPress.

Eu nunca olhei para outros projetos de CMS (como Joomla, Drupal etc.) principalmente porque era bom fazer algo no WordPress, estar envolvido na comunidade e potencialmente fazer novos amigos, que foi exatamente o que aconteceu.

Quais são os pontos fortes e fracos deste CMS? O WordPress é seguro? Por que as pessoas deveriam investir em um plugin de segurança ?

Na minha opinião, os pontos fortes do WordPress são:

• É muito bem suportado e documentado
• É apoiado por uma grande e incrível comunidade
• O núcleo do WordPress é muito estável, atualizado com frequência e bem mantido
• Graças aos vários plugins e temas, você pode criar qualquer tipo de site com o WordPress

O núcleo do WordPress é muito seguro. Os problemas de segurança mais comuns com sites WordPress são causados ​​pelos proprietários/administradores do site. Por exemplo;

• Os sites são mal gerenciados e possuem plugins desnecessários instalados, software desatualizado, privilégios de usuário atribuídos incorretamente, senhas fracas, etc.
• Usuários sem experiência não sabem o que é necessário para manter um site WordPress seguro.

Francamente, manter um site seguro não é ciência do foguete. Principalmente, trata-se de seguir algumas práticas recomendadas básicas de segurança.

Você poderia compartilhar 5 dicas rápidas para fortalecer a segurança de um site WordPress?

• Mantenha tudo atualizado, incluindo plugins, temas e claro a versão do WordPress. Isso também se aplica ao seu computador, smartphone e qualquer outro dispositivo que você possua.
• Atribua os privilégios certos. As funções de usuário do WordPress têm um papel significativo a desempenhar na segurança geral do seu site. O simples ato de atribuir muitas capacidades à pessoa errada pode ter consequências potencialmente desastrosas.
• Pesquise plugins antes de instalá-los. Além disso, instale apenas os plugins que você precisa. Algumas coisas a serem lembradas ao escolher plugins para o seu site WordPress são: classificações de plugins, avaliações de usuários, número de instalações ativas do plugin, suporte, capacidade de resposta do desenvolvedor e documentação.
• Hardening – há muito que pode ser feito quando se trata de hardening do WordPress. No entanto, você pode começar com algumas etapas simples, como implementar o 2FA, melhorar a segurança da senha e desabilitar o que você não precisa.
• A segurança deve fazer parte de suas tarefas diárias. A segurança do WordPress não é uma correção única, mas um processo de testar constantemente suas defesas e iterar isso para melhorar a postura de segurança do seu site.

Vamos nos concentrar em seus plugins: Por que você criou o WP Activity Log?

Tive a ideia nos dias em que limpava sites invadidos. Achei que os logs são vitais para gerenciar um site, mas também são úteis durante o trabalho forense, onde podem ajudá-lo a entender o que aconteceu e o que foi explorado.

Como o WordPress não possui logs, comecei a desenvolver o WP Activity Log. A partir de hoje, temos seis plugins, todos focados na segurança do WordPress e no gerenciamento de usuários.

WP Activity Log : um plug-in abrangente de monitoramento de usuários e registro de atividades em tempo real que ajuda milhares de administradores e profissionais de segurança do WordPress a ficarem de olho no que está acontecendo em seus sites.

Password Policy Manager : este plugin permite que você configure políticas de senha fortes para seu site WordPress e rede multisite.

WP 2FA : um plugin de autenticação de dois fatores fácil de usar com o qual você pode fortalecer a segurança do seu login de usuário do WordPress em apenas alguns segundos.

Website File Changes Monitor : um plugin de monitor de integridade de arquivos com uma tecnologia inteligente exclusiva que reconhece as alterações do núcleo, plugins e temas do WordPress, para não gerar falsos alarmes de alterações legítimas de arquivos.

Logs de atividades para MainWP : esta é uma extensão MainWP que os administradores e agências usam para ficar de olho no que está acontecendo nos sites filhos de um portal central - o painel MainWP.

Admin Notices Manager : este plugin gerencia os avisos de administração em seu painel do WordPress. A ideia é simples, ter um painel livre de distrações e ler os avisos do administrador conforme sua conveniência, e nunca perder um núcleo importante do WordPress ou uma mensagem do desenvolvedor.

De tempos em tempos, as pessoas nos perguntam por que desenvolvemos plugins de propósito único em vez de um plugin de segurança “genérico”. Um dos motivos é a facilidade de uso. Plugins de segurança genéricos podem ser um pouco esmagadores para os usuários.

Ao desenvolver um plug-in de propósito único, você pode se especializar nessa área e se concentrar na criação de recursos mais robustos, o que é bom para usuários com necessidades específicas. Isto é o mesmo com todo o resto. Vamos usar a analogia da câmera do smartphone vs. DSLR como exemplo; mesmo que hoje em dia a maioria dos telefones tenha boas câmeras, você não pode comparar essa câmera com uma DSLR, porque não importa quão bom seja o seu telefone com câmera, ele nunca terá a versatilidade, recursos e opções de uma câmera digital.

Como você vê o WordPress evoluir no futuro?

O WordPress começou como uma humilde plataforma de blogs e hoje é usado para blogs, sites, soluções de comércio eletrônico e também como solução de back-end para muitos projetos da web.

Sua participação de mercado também está crescendo rapidamente, então o futuro é definitivamente interessante.

Quanto mais amplamente adotado, mais interesse há nele. Isso significa que mais empresas investirão no ecossistema WordPress, o que normalmente leva a mais inovação , novos produtos e novas formas de usá-lo, mais integrações e, acima de tudo, um WordPress mais seguro.

E o log de atividades do WP?

Este ano estamos nos concentrando em refatorar o núcleo do plugin e seus recursos. Além disso, sendo uma solução de log de atividades, também estamos focando em integrações, algo que empresas maiores exigem.

Por exemplo, gravar logs para soluções de terceiros, integrações com soluções como Splunk e sistemas de log central.

Além disso, também temos um roteiro interessante para todos os outros plugins, especialmente o WP 2FA. Este ano, adicionaremos muitos recursos novos, portanto, fique atento!