Cupão desconto WordPress.com 43% Off (16 Códigos de desconto WordPress.com Portugal) Outubro 2023

O WordPress é um sistema de gerenciamento de conteúdo ( CMS ) gratuito e de código aberto escrito em PHP e emparelhado com um banco de dados MySQL ou MariaDB. Os recursos incluem uma arquitetura de plug-in e um sistema de modelo, referido no WordPress como Temas. O WordPress foi originalmente criado como um sistema de publicação de blogs, mas evoluiu para oferecer suporte a outros tipos de conteúdo da Web, incluindo listas de discussão e fóruns mais tradicionais, galerias de mídia, sites de associação, sistemas de gerenciamento de aprendizagem (LMS) e lojas on-line. O WordPress é usado por mais de 60 milhões de sites, incluindo 33,6% dos 10 milhões de sites em abril de 2019, o WordPress é uma das soluções mais populares de sistemas de gerenciamento de conteúdo em uso. O WordPress também foi usado para outros domínios de aplicativos, como sistemas de exibição difundidos (PDS).

O WordPress possui um sistema de modelos da web usando um processador de modelos. Sua arquitetura é um controlador frontal, roteando todas as solicitações de URIs não estáticos para um único arquivo PHP que analisa o URI e identifica a página de destino. Isso permite suporte a mais links permanentes legíveis por humanos.

Aplicativos móveis WordPress

A inspiração ocorre a qualquer hora, em qualquer lugar. Os aplicativos móveis do WordPress colocam o poder da publicação em suas mãos, facilitando a criação e o consumo de conteúdo. Escreva, edite e publique postagens em seu site, verifique as estatísticas e inspire-se com ótimas postagens no Reader. E é claro, eles são de código aberto, assim como o WordPress.

Os aplicativos móveis do WordPress suportam o WordPress.com e sites WordPress.org auto-hospedados que executam o WordPress 4.0 ou superior.

Amplie sua experiência no WordPress com 56.677 plugins.

Adicione estilo ao seu site WordPress com 7.513 temas.

Top 10 da OWASP 2013

O Open Web Application Security Project (OWASP) é uma comunidade online dedicada à segurança de aplicativos da web. A lista dos 10 principais da OWASP8 concentra-se na identificação dos riscos mais graves de segurança de aplicativos para uma ampla variedade de organizações. Os 10 principais itens são selecionados e priorizados em combinação com estimativas de consenso de estimativas de exploração, detectabilidade e impacto.

As seções a seguir discutem as APIs, recursos e políticas que o WordPress usa para fortalecer o software principal e plug-ins e temas de terceiros contra esses riscos potenciais.

A1 - Injeção

Há um conjunto de funções e APIs disponíveis no WordPress para ajudar os desenvolvedores a garantir que código não autorizado não possa ser injetado e ajudá-los a validar e higienizar dados. Estão disponíveis as práticas recomendadas e a documentação9 sobre como usar essas APIs para proteger, validar ou higienizar dados de entrada e saída em HTML, URLs, cabeçalhos HTTP e ao interagir com o banco de dados e o sistema de arquivos. Os administradores também podem restringir ainda mais os tipos de arquivos que podem ser carregados por meio de filtros.

A2 - Autenticação quebrada e gerenciamento de sessões

O software principal do WordPress gerencia contas de usuário, autenticação e detalhes como ID do usuário, nome e senha são gerenciados no servidor, bem como os cookies de autenticação. As senhas são protegidas no banco de dados usando técnicas padrão de salga e alongamento. As sessões existentes são destruídas após o logout das versões do WordPress após a 4.0.

A3 - Script entre sites (XSS)

O WordPress fornece uma gama de funções que podem ajudar a garantir que os dados fornecidos pelo usuário sejam seguros10. Usuários confiáveis, que são administradores e editores em uma única instalação do WordPress, e administradores de rede apenas no WordPress Multisite, podem postar HTML ou JavaScript não filtrado conforme necessário, como dentro de uma postagem ou página. Usuários não confiáveis e conteúdo enviado pelo usuário são filtrados por padrão para remover entidades perigosas, usando a biblioteca KSES através da função wp_kses.

Como exemplo, a equipe principal do WordPress percebeu, antes do lançamento do WordPress 2.3, que a função the_search_query () estava sendo mal utilizada pela maioria dos autores de temas, que não estavam escapando da saída da função para uso em HTML. Em um caso muito raro de quebrar a compatibilidade com versões anteriores, a saída da função foi alterada no WordPress 2.3 para ser pré-escapada.

A4 - Referência insegura a objetos diretos

O WordPress geralmente fornece referência direta a objetos, como identificadores numéricos exclusivos de contas de usuários ou conteúdo disponível nos campos URL ou formulário. Embora esses identificadores divulguem informações diretas do sistema, as permissões avançadas do WordPress e o sistema de controle de acesso impedem solicitações não autorizadas.

A5 - Configuração incorreta de segurança

A maioria das operações de configuração de segurança do WordPress é limitada a um único administrador autorizado. As configurações padrão do WordPress são avaliadas continuamente no nível da equipe principal, e a equipe principal do WordPress fornece documentação e práticas recomendadas para aumentar a segurança da configuração do servidor para a execução de um site WordPress11.

A6 - Exposição de dados confidenciais

As senhas das contas de usuário do WordPress são salgadas e hash com base no Portable PHP Password Hashing Framework12. O sistema de permissão do WordPress é usado para controlar o acesso a informações privadas, como PII de usuários registrados, endereços de e-mail dos comentaristas, conteúdo publicado em particular etc. No WordPress 3.7, um medidor de força de senha foi incluído no software principal, fornecendo informações adicionais aos usuários. suas senhas e dicas para aumentar a força. O WordPress também possui uma configuração opcional para exigir HTTPS.

A7 - Controle de acesso de nível de função ausente

O WordPress verifica a autorização e as permissões adequadas para qualquer solicitação de acesso no nível da função antes da execução da ação. O acesso ou a visualização de URLs, menus e páginas administrativos sem autenticação adequada está totalmente integrado ao sistema de autenticação para impedir o acesso de usuários não autorizados.

A8 - Falsificação de solicitação entre sites (CSRF)

O WordPress usa tokens criptográficos, chamados nonces13, para validar solicitações de intenção de ação de usuários autorizados para proteção contra possíveis ameaças de CSRF. O WordPress fornece uma API para a geração desses tokens para criar e verificar tokens exclusivos e temporários, e o token é limitado a um usuário específico, uma ação específica, um objeto específico e um período de tempo específico, que pode ser adicionado a formulários e URLs como necessário. Além disso, todos os nonces são invalidados no logout.

A9 - Usando componentes com vulnerabilidades conhecidas

A equipe principal do WordPress monitora de perto as poucas bibliotecas e estruturas incluídas com as quais o WordPress se integra para a funcionalidade principal. No passado, a equipe principal fez contribuições para vários componentes de terceiros para torná-los mais seguros, como a atualização para corrigir uma vulnerabilidade entre sites no TinyMCE no WordPress 3.5.214.

Se necessário, a equipe principal pode decidir dividir ou substituir componentes externos críticos, como quando a biblioteca SWFUpload foi oficialmente substituída pela biblioteca Plupload na 3.5.2, e uma divisão segura do SWFUpload foi disponibilizada pela equipe de segurança

A10 - Redirecionamentos e encaminhamentos não validados

O controle interno de acesso e o sistema de autenticação do WordPress se protegerão contra tentativas de direcionar usuários para destinos indesejados ou redirecionamentos automáticos. Essa funcionalidade também é disponibilizada aos desenvolvedores de plug-ins por meio de uma API, wp_safe_redirect.

Mais riscos e preocupações com segurança

Ataques de processamento XXE (XML eXternal Entity)

Ao processar XML, o WordPress desabilita o carregamento de entidades XML personalizadas para impedir ataques de Entidade Externa e de Expansão de Entidade. Além da funcionalidade principal do PHP, o WordPress não fornece API de processamento XML adicional segura para autores de plugins.

Ataques SSRF (falsificação de solicitações no servidor)

As solicitações HTTP emitidas pelo WordPress são filtradas para impedir o acesso a loopback e endereços IP privados. Além disso, o acesso é permitido apenas a determinadas portas HTTP padrão.

Segurança do WordPress Plugin e Tema

O tema padrão

O WordPress exige que um tema esteja ativado para tornar o conteúdo visível no frontend. O tema padrão fornecido com o WordPress principal (atualmente "Twenty Twenty") foi vigorosamente revisado e testado por razões de segurança, tanto pela equipe de desenvolvedores do tema quanto pela equipe de desenvolvimento principal.

O tema padrão pode servir como ponto de partida para o desenvolvimento de temas personalizados, e os desenvolvedores do site podem criar um tema filho que inclui alguma personalização, mas recorre ao tema padrão para maior funcionalidade e segurança. O tema padrão pode ser facilmente removido por um administrador, se não for necessário.

Repositórios de temas e plugins do WordPress.org

Existem aproximadamente 50.000 plugins e 5.000 temas listados no site WordPress.org. Esses temas e plugins são enviados para inclusão e revisados manualmente por voluntários antes de disponibilizá-los no repositório.

A inclusão de plugins e temas no repositório não garante que eles estejam livres de vulnerabilidades de segurança. São fornecidas diretrizes para os autores de plug-ins consultarem antes do envio para inclusão no repositório17, e uma documentação extensa sobre como fazer o desenvolvimento do tema WordPress18 é fornecida no site WordPress.org.

Cada plug-in e tema tem a capacidade de ser continuamente desenvolvido pelo proprietário do plug-in ou tema, e quaisquer correções subseqüentes ou desenvolvimento de recursos podem ser carregados no repositório e disponibilizados aos usuários com esse plug-in ou tema instalado com uma descrição dessa alteração. Os administradores do site são notificados de plugins que precisam ser atualizados por meio do painel de administração.

Quando uma vulnerabilidade de plug-in é descoberta pela Equipe de Segurança do WordPress, eles entram em contato com o autor do plug-in e trabalham juntos para corrigir e lançar uma versão segura do plug-in. Se lá é uma falta de resposta do autor do plug-in ou, se a vulnerabilidade for grave, o plug-in / tema será retirado do diretório público e, em alguns casos, corrigido e atualizado diretamente pela equipe de segurança.

Equipe de Revisão do Tema

A Equipe de revisão de temas é um grupo de voluntários, liderados por membros importantes e estabelecidos da comunidade WordPress, que revisam e aprovam temas enviados para serem incluídos no diretório oficial de Temas WordPress. A equipe de revisão de temas mantém as diretrizes oficiais de revisão de temas19, os dados de teste da unidade temática20 e os plugins de verificação de temas21, e tenta envolver e educar a comunidade de desenvolvedores de temas WordPress sobre as melhores práticas de desenvolvimento. A inclusão no grupo é moderada pelos principais participantes da equipe de desenvolvimento do WordPress.

O papel do provedor de hospedagem na segurança do WordPress

O WordPress pode ser instalado em várias plataformas. Embora o software principal do WordPress forneça muitas disposições para a operação de um aplicativo Web seguro, abordadas neste documento, a configuração do sistema operacional e do servidor Web subjacente que hospeda o software é igualmente importante para manter os aplicativos WordPress seguros.

Uma observação sobre o WordPress.com e a segurança do WordPress

O WordPress.com é a maior instalação de WordPress do mundo e pertence e é gerenciado pela Automattic, Inc., fundada por Matt Mullenweg, co-criador do projeto WordPress. O WordPress.com roda no software principal do WordPress e possui seus próprios processos, riscos e soluções de segurança22. Este documento refere-se à segurança em relação ao software WordPress de código aberto para download, auto-hospedado e disponível em WordPress.org e instalável em qualquer servidor do mundo.

APIs principais do WordPress

A Interface de Programação de Aplicativos (WordPress) do WordPress é composta por várias APIs individuais23, cada uma cobrindo as funções envolvidas e o uso de um determinado conjunto de funcionalidades. Juntos, eles formam a interface do projeto, que permite que plugins e temas interajam, alterem e estendam a funcionalidade principal do WordPress com segurança.

Embora cada API do WordPress forneça práticas recomendadas e maneiras padronizadas de interagir e estender o software principal do WordPress, as seguintes APIs do WordPress são as mais pertinentes para impor e reforçar a segurança do WordPress:

API de banco de dados

A API do banco de dados24, adicionada no WordPress 0.71, fornece o método correto para acessar dados como valores nomeados armazenados na camada do banco de dados.

API do sistema de arquivos

A API do sistema de arquivos25, adicionada no WordPress 2.626, foi criada originalmente para o próprio recurso de atualizações automáticas do WordPress. A API do sistema de arquivos abstrai a funcionalidade necessária para a leitura e gravação de arquivos locais no sistema de arquivos para que sejam executados com segurança, em uma variedade de tipos de host.

Isso é feito através da classe WP_Filesystem_Base e de várias subclasses que implementam maneiras diferentes de se conectar ao sistema de arquivos local, dependendo do suporte do host individual. Qualquer tema ou plugin que precise gravar arquivos localmente deve fazê-lo usando a família de classes WP_Filesystem.

API HTTP

A API HTTP27, adicionada no WordPress 2.728 e estendida ainda mais no WordPress 2.8, padroniza as solicitações HTTP para o WordPress. A API lida com cookies, codificação e decodificação gzip, decodificação de blocos (se HTTP 1.1) e várias outras implementações de protocolo HTTP. A API padroniza solicitações, testa cada método antes do envio e, com base na configuração do servidor, usa o método apropriado para fazer a solicitação.

Permissões e API do usuário atual

o permissões e usuário atual API29 é um conjunto de funções que ajudarão a verificar as permissões e a autoridade do usuário atual para executar qualquer tarefa ou operação solicitada, além de proteger ainda mais contra usuários não autorizados que acessam ou executam funções além de seus recursos permitidos.

Conteúdo do white paper Licença

O texto deste documento (não incluindo o logotipo ou a marca registrada do WordPress) é licenciado sob a dedicação de domínio público CC0 1.0 Universal (CC0 1.0). Você pode copiar, modificar, distribuir e executar o trabalho, mesmo para fins comerciais, tudo sem pedir permissão.

Make WordPress

Seja você um desenvolvedor iniciante, um designer ou apenas ajudando, estamos sempre procurando pessoas para ajudar a tornar o WordPress ainda melhor.

Se você deseja se envolver no WordPress, este é o lugar para você. Temos blogs para cada grupo de colaboradores, notícias gerais e eventos futuros.

A equipe principal cria o WordPress. Se você é um desenvolvedor experiente de PHP ou está apenas aprendendo a codificar, gostaríamos de ter você a bordo. Você pode escrever código, corrigir bugs, debater decisões e ajudar no desenvolvimento.

O grupo de design do WordPress está focado no design e desenvolvimento da interface do usuário. É um lar para designers e UXers. Há discussões regulares sobre maquetes, design e teste do usuário.

O grupo a11y fornece conhecimentos de acessibilidade em todo o projeto. Eles garantem que o núcleo do WordPress e todos os recursos do WordPress estejam acessíveis.

O WordPress é usado em todo o mundo e em muitos idiomas diferentes. Se você é poliglota, ajude traduzindo o WordPress para o seu próprio idioma. Você também pode ajudar na criação das ferramentas que facilitam as traduções.

A equipe de revisão de temas analisa e aprova todos os temas enviados ao repositório de temas do WordPress . A revisão de temas aprimora suas próprias habilidades de desenvolvimento de temas. Você pode ajudar e participar da discussão no blog.

A equipe do Meta cria o WordPress.org, fornece suporte e cria ferramentas para serem usadas por todos os grupos de colaboradores. Se você quiser ajudar a melhorar o WordPress.org, inscreva-se para receber atualizações no blog Meta.

A equipe de treinamento cria planos de aula para download e materiais relacionados para os instrutores usarem em um ambiente de oficina ao vivo. Se você gosta de ensinar as pessoas a usar e criar coisas para o WordPress , pare imediatamente o que está fazendo e faça parte da nossa equipe!

As patrulhas da equipe de teste fluem por todo o ecossistema do WordPress em todos os dispositivos que temos em mãos. Testamos, documentamos e relatamos a experiência do usuário do WordPress. Através do registro contínuo de alimentos para cães e registros visuais, entendemos não apenas o que está errado, mas também o que está certo. Mergulhamos no contexto do que estamos criando e defendemos a experiência do usuário.

A equipe de TV analisa e aprova todos os vídeos enviados ao WordPress.tv. Eles também ajudam o WordCamps na pós-produção de vídeo e são responsáveis pelas legendas e legendas dos vídeos publicados. A revisão de vídeos é uma ótima maneira de aprender sobre o WordPress e ajudar a comunidade: não é necessária experiência para se envolver.

Nossa visão para a equipe de marketing é ser o recurso essencial para estratégia e conteúdo para outras equipes do WordPress.

O WP-CLI é a ferramenta de linha de comando oficial para interagir e gerenciar seus sites WordPress.

Trabalhamos para melhorar a experiência do usuário final do WordPress em ambientes de hospedagem por meio da colaboração no setor e da educação do usuário. Junte-se a nós!