Por framework
Segurança por framework — defesas específicas para a tecnologia que você usa
Um hub de segurança por framework — os perigos padrão, os pontos fracos mais explorados e os passos de hardening — para WordPress, Laravel, Next.js, Spring e mais. Os tipos de ameaça são compartilhados; o que muda são as falhas padrão de cada framework. Defensivo, sem passos de ataque.
«Segurança do Laravel», «hardening do WordPress» — quando pesquisamos, procuramos respostas por tecnologia. Esta página é o ponto de entrada para a defesa por framework (sem passos de ataque).
Compartilhado (igual em todos os frameworks)
controle de acesso, segredos, injeção, CVEs de dependências, configuração incorreta. A base defensiva também é compartilhada.
Específico do framework (cada capítulo)
os «padrões perigosos» e «o ponto mais visado». Esta é a única parte que muda conforme a tecnologia.
Os "tipos de fraqueza" compartilhados por todos os frameworks
Primeiro o panorama geral. Estes tipos são atingidos repetidamente, independentemente da tecnologia; cada capítulo de framework os projeta em «como isso se manifesta naquela tecnologia».
Guias por framework
Leia o capítulo da sua tecnologia. Cada um segue «perigos padrão → ponto mais visado → passos de hardening».
WordPress
Laravel
Next.js
Java / Spring
Outros frameworks
A visão deste site: o framework é a ferramenta, o incidente é a operação
Discutir «este framework é seguro/perigoso» raramente ajuda. A maioria dos incidentes reais não vem de um bug do núcleo, mas do uso — atualizações negligenciadas, segredos expostos, autorização ausente, padrões perigosos. Este site roda sobre o próprio Next.js, e nossa defesa principal não é mágica especial: monitorar CVEs de dependências, manter segredos fora do código e dos diretórios públicos, autenticação forte, backups recuperáveis. Cada capítulo de framework é só essa base, expressa nas próprias palavras daquela tecnologia.
Blinde primeiro a base compartilhada
Antes de mergulhar em um capítulo de framework, é eficiente firmar primeiro o que funciona em todas as tecnologias.
- Início: a lista de verificação da base de segurança (as chaves do reino, segredos, correção, detecção, recuperação)
- Prática: o manual de resposta a vulnerabilidades · monitorar CVEs de dependências (osv-scanner)
- Segredos: mantenha segredos fora dos diretórios públicos
Leia a seguir
- Guias: segurança do WordPress · segurança do Laravel
- Base: a lista de verificação da base de segurança (compartilhada por todos os frameworks)
- Glossário: o que é um CVE (a unidade para rastrear as falhas conhecidas de um framework)
FAQ
QQual é o framework mais perigoso?
Menos do que um 'framework perigoso', o problema é o 'uso perigoso'. Dito isso, do ponto de vista de um atacante, 'mais instalações = mais vale a pena atacar', então a plataforma de maior participação do mundo — WordPress e seus plugins — é estatisticamente a mais visada. Mesmo assim, em qualquer framework, a maioria dos incidentes não vem de um bug do núcleo, mas da operação: atualizações negligenciadas, segredos expostos, autorização ausente e padrões perigosos. Por isso, fechar as falhas da sua própria tecnologia é mais útil do que classificar frameworks.
QUm framework mais novo é mais seguro?
Não necessariamente. Frameworks mais novos costumam trazer padrões mais seguros, mas também têm um histórico mais curto (buracos desconhecidos) e mais configuração incorreta feita por desenvolvedores que ainda estão aprendendo. Frameworks mais antigos são calejados em batalha, mas sofrem com versões maiores obsoletas e sem correção (EOL) e uma grande superfície de plugins/dependências. No fim, a operação que funciona é: acompanhe as versões, entenda os padrões perigosos e defenda em camadas.
QPor onde eu deveria começar?
Primeiro blinde a base compartilhada por todos os frameworks (monitore CVEs de dependências, mantenha segredos fora do código e dos diretórios públicos, autenticação forte, backups). Depois abra o capítulo do framework que você de fato usa e feche uma a uma as falhas padrão específicas daquela tecnologia (por exemplo, a gestão de plugins no WordPress, o APP_DEBUG/autorização do Laravel).