Segurança por framework
Guias de segurança por framework — os perigos padrão, os pontos fracos mais explorados e os passos de hardening — para WordPress, Laravel, Next.js, Spring e mais.
Frameworks cobertos
PHP
O WordPress tem a maior participação, então é estatisticamente o maior alvo. Os pontos de entrada são menos o núcleo do que vulnerabilidades de plugins/temas, atualizações negligenciadas, administradores fracos/reutilizados e superfícies de administração expostas (wp-admin/xmlrpc/enumeração via REST). Defesas: automatizar atualizações do núcleo+plugins, apagar plugins/temas não usados, senha forte + 2FA para administradores, limitar a exposição da administração e as tentativas de login, detecção de adulteração mais backups offline.
LaravelO Laravel entrega padrões razoavelmente seguros, mas a maioria dos incidentes vem da operação. As três grandes armadilhas: (1) .env ou arquivos de segredos acessíveis por URL a partir do diretório público, (2) APP_DEBUG=true em produção expondo variáveis de ambiente e informações de conexão na página de erro, (3) autorização ausente (login = autenticação, mas sem autorização com escopo de proprietário / Mass Assignment sobrescrevendo campos não intencionais). Defesas: segredos fora de public com permissão 600, debug desligado + cache de config em produção, autorizar com Policy/Gate, declarar $fillable.
JavaScript / Node
O Next.js traz padrões bastante seguros, mas os incidentes acontecem na fronteira servidor/cliente. Os três grandes: (1) exposição de variáveis de ambiente (uso incorreto de NEXT_PUBLIC_ ou envio de segredos server-only ao cliente), (2) autorização ausente em Server Actions / Route Handlers (autenticado mas sem escopo de dono), e (3) CVEs de dependências conhecidas (incluindo RCE no núcleo do framework — julgue pela versão em execução e corrija rápido). Defesas: mantenha segredos no servidor, cuide da fronteira, autorize em cada action, monitore CVEs de dependências por máquina.
ExpressO Express é minimalista — ele traz quase nenhum recurso de segurança por padrão, então as defesas são as que o desenvolvedor adiciona. O essencial: (1) cabeçalhos de segurança (estilo helmet), (2) validação e sanitização de entrada, (3) autorização com escopo de proprietário, não apenas autenticação, (4) rate limiting (força bruta / DoS), (5) monitoramento de CVEs de dependências (npm) e correção rápida. Além de proteção contra SSRF em buscas de URL de saída e segredos mantidos em variáveis de ambiente, fora do código. A liberdade de um framework mínimo vem com a responsabilidade de defender.