WordPress 2.9.2 corrige falha de segurança

Posted on 16 de fevereiro de 2010 by Érico Oliveira

O estudante de segurança da computação Thomas Mackenzie alertou a comunidade WordPress sobre uma falha de segurança que permitia usuários logados visualizar posts colocados na lixeira por outros usuários. Por se tratar de uma falha grave esta versão foi lançada apenas para corrigir o problema.

Se você possui muitos usuários cadastrados no seu WordPress é muito recomendado que realize esta atualização, para isso acesse a administração do blog e clique no menu Ferramentas/Atualizar ou baixe a nova versão.

Novo ataque afeta versões antigas do WordPress

Posted on 5 de setembro de 2009 by Rodrigo Ghedin

Um novo tipo de ataque contra blogs que rodam sob WordPress foi descoberto, segundo Lorelle VanFossen. Ele afeta blogs que rodam versões desatualizadas do WordPress (anteriores à 2.8.4), e o número de endereços afetados está crescendo em alta velocidade.

A primeira atitude a tomar é, obviamente, atualizar seu WordPress. Independente de qual versão esteja rodando, atualize o sistema para a 2.8.4 imediatamente. Também é sugerido alterar senhas de acesso ao WordPress, FTP e outras mais que porventura seja usadas, usando sempre senhas fortes – o WordPress possui um verificador de força de senhas embutido.

Para saber se seu blog foi afetado, há duas maneiras:

Permalinks estranhos, como por exemplo: example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/. As palavras “eval” e “base64_decode” indicam o problema;
Inclusão de um usuário estranho, geralmente “Administrator (2)”, no rol de usuários do WordPress.

Se um ou ambos os indícios aparecerem em seu blog, é preciso reinstalá-lo completamente. Pelo que se sabe até o momento, o ataque afeta o banco de dados, logo, não basta apenas excluir os arquivos do WordPress e reenviá-los. É necessário exportar o conteúdo usando o sistema nativo do WordPress (Ferramentas [Tools], Exportar [Export]), e importá-lo para uma instalação limpa do sistema. Aproveite e reenvie, também, o próprio WordPress, lembrando de salvar temas, plugins e, principalmente, os arquivos de mídia (/wp-content/uploads).

A Automattic ainda não se pronunciou sobre o assunto. Blogs hospedados no WordPress.com não são afetados. E, mais uma vez, o mundo mostra a importância de manter sistemas, programas e aplicações atualizadas…

15 Dicas para Proteger o seu WordPress

Posted on 21 de março de 2009 by Érico Oliveira

Sem dúvida alguma o WordPress é o melhor e mais popular gerenciador de conteúdo para blogs, porém toda esta popularidade atrai uma enorme quantidade de hackers que aproveitam-se do fato que o sistema é open source para estudá-lo por completo e descobrir maneiras de invadir. Para evitar estes problemas vamos dar algumas dicas de segurança para você implementar no seu WordPress.

Todas as dicas que serão mostradas agora são para o WordPress 2.7 e superior. Se você ainda utiliza uma versão anterior está aí um bom motivo para atualizar.

Protegendo seu login

1. CHAP Secure Login – Este plugin utiliza o protocolo CHAP para criptografar sua senha e garantir mais segurança durante o sessão de acesso à administração. Não é necessário nenhuma configuração, basta fazer o upload do plugin e ativá-lo.
2. Stealth Login – Neste caso o plugin oculta a página de login default do WP (wp-login.php) permitindo que você configure uma nova URL para realizar o login. É uma boa forma para evitar que bots encontrem a página de login e tentem quebrar sua senha.
3. Login Lockdown – Já tinha comentado sobre este plugin aqui no pBlog, sua função é bloquear o login temporariamente se ocorrer diversas tentativas não bem sucedidas seguidas vezes em curto período de tempo.
4. AskApache Password Protect – Este plugin adiciona uma autenticação HTTP extra, garantindo uma camada a mais de proteção, assim você poderá adicionar uma nova senha. É importante verificar se o servidor onde seu blog está hospedado possui compatibilidade com a HTTP Basic Authentication ou HTTP Digest Authentication (o próprio plugin tem uma ferramenta de deste).

Protegendo seu Banco de Dados

5. WP-DB-Backup – Lembre-se sempre de fazer backup! O plugin WP-DB-Backup facilitará esta tarefa chata, podendo até enviar um backup do seu banco de dados todos os dias para seu email.
6. Trocando o prefixo das tabelas do Banco de Dados – Por default o WordPress adiciona o prefixo “wp” em todas as tabelas do BD. Para trocar este prefixo facilmente basta utilizar o plugin WP-Security-Scan.
7. Protegendo o arquivo wp-config.php – Este arquivo possui todas as informações do seu BD, protegê-lo do acesso público é uma importantíssimo. Para isso adicione o seguinte código ao seu arquivo .htaccess.

order allow,deny deny from all

Protegendo as Páginas da Administração

8. Admin SSL – Plugi que força criptografia SSL em todas as páginas que exige senha, assim todas as informações transmitidas estarão cryptografadas.
9. Mude o seu Login!! – Utilizando o login “admin” que é adicionado por default durante a instalação, o hacker terá que quebrar apenas sua senha, pois já saberá o login. Para isso crie um novo usuário com poderes de administrador e apague o usuário “admin”.

Prevenindo que usuários vejam a estrutura de pastas do WP

10. Escondendo a Pasta wp-content – Nesta pasta estão armazenadas o seu tema, plugins e uploads, torná-la inacessível é uma boa opção. Uma maneira é criar um arquivo index.html em branco dentro da pasta ou criar um arquivo .htaccess também dentro da pasta wp-content com o seguinte código:

Options All -Indexes

11. Bloquei as pasta do WP dos mecanismos de busca – Enquanto você deseja que os mecanismos de busca indexem todo o conteúdo do seu blog para trazer o máximo de visitantes possível, a última coisa que você gostaria é que os mesmos mecanismos de buscas tornasse público a estrutura de pastas do seu blog. Para evitar este problema adicione o seguinte código ao arquivo robot.txt:

Disallow: /wp-*

Manutenção

12. WP Security Scan – Já citado anteriormente, este plugin procura por vulnerabilidades e fornece sugestões corretivas. É sempre bom executá-lo de tempos em tempos para que verifique eventuais problemas de segurança.
13. Troque sua senha com regularidade!!
14. Mantenha sempre atualizado seu WordPress e todos os plugins instalados.
15. Proteja sua conexão de FTP – Algo bastante comum no dia-a-dia de qualquer blogueiro, a transferência de arquivos via FTP pode expor seus arquivos durante o envio, o ideal é utilizar uma conexão SFTP (secure FTP). A grande maioria das hospedagem já possuem suporte a SFTP e apesar de sua configuração ser um pouco mais trabalhosa, você só precisará fazer uma vez. Aprenda a configurar com este tutorial.

Aplicando todas estas dicas em seu blog pode ter a certeza que ele estará 99,9% seguro!!

Fonte: MakeUseOf.com

Torne seu WordPress mais seguro com o plugin Login Lockdown

Posted on 6 de janeiro de 2009 by Érico Oliveira

Proteja seu WordPress

Uma das formas mais comuns e também mais difundidas de ataques a sites é através da “força bruta“, que consiste basicamente em tentar todas as combinações de caracteres até descobrir uma senha. É contra este tipo de ataque que o plugin Login Lockdown protegerá seu WordPress.

Seu funcionamento consiste em registrar o endereço IP e a hora de cada login não bem sucedido foi realizado. Se um determinado número de tentativas for realizada de um mesmo endereço IP em um curto espaço de tempo, o plugin bloqueará novas tentativas para aquele endereço. Desta forma previne-se contra a descoberta de senhas através de ataques por força bruta.

A instalação do plugin é simples como a maioria, faça o download, descompacte-o e envie para a pasta plugins no seu servidor. Acesse a página de plugins na administração do seu WordPress e ative-o. Por último você poderá fazer alguns ajustes na página de configuração do plugin, por default um determinado número IP será bloqueado caso realize 3 tentativas de login sem sucesso em menos de 5 minutos.

Como ocultar a versão do WordPress

Posted on 29 de novembro de 2008 by Rodrigo Ghedin

Desde o WordPress 2.5 (se não me falhe a memória), a Automattic removeu o código da versão do sistema do header.php, e adicionou-o às chamadas que a Template Tag faz. Na prática, isso impede que os usuários removam a indicação da versão do WordPress usada, algo muito importante para a geração de dados de uso da ferramenta. Na página gerada no navegador, o código da versão fica assim:

Mesmo antes dessa mudança estrutural, eu já mantinha tal informação no cabeçalho do blog, justamente para ajudar os desenvolvedores que, a bem da verdade, não cobram um tostão pelo excelente produto que fazem e melhoram constantemente. Ocorre que, além desse ato nobre, exibir a versão do WordPress que se está usando tem um efeito colateral ruim e até perigoso: expõe seu domínio a ataques.

Muitas das atualizações do WordPress são lançadas para corrigir brechas de segurança. Essas brechas, quando tornadas públicas, são usadas por pessoas mal intencionadas para causar danos em blogs, gerais ou específicos. No caso dos blogs gerais, ou seja, um ataque feito sem destinatário específico, os crackers utilizam a exibição da versão para limitar o ataque, tornando-o mais efetivo usando menos “força bruta”. Ao invés de tentar o ataque em todos os blogs WordPress que o programa encontrar, este se limita a agir contra aqueles que usam a versão afetada ou anterior.

A solução, pacífica e benéfica aos bloggers e à Automattic, é manter seu WordPress atualizado. Eles (a Automattic) fazem de tudo para manter o sistema imune a falhas, portanto, cabe ao usuário manter seu sistema atualizado também. Com a nova sistemática, onde os desenvolvedores indicam quais arquivos foram modificados, a atualização é ainda mais simples e rápida.

Dito tudo isso, trago a dica prometida no título do post. Para não ficar dúvidas, repito, agora em termos claros: evitem usar essa dica, mantenham o WordPress atualizado. Existem cenários bastantes específicos na qual a ocultação da versão faz sentido; para todo o resto, o ideal é deixá-la lá.

A dica é simples. Abra (ou crie, caso não tenha) o arquivo functions.php, do tema, e acrescente a seguinte linha nele:

remove_action('wp_head', 'wp_generator');

O remove_action incide sobre a função wp_generator, responsável por “puxar” e exibir a versão do WordPress, e impede sua execução. Simples assim. Como o functions.php é carregado antes do tema, a mágina acontece.

Outra dica, essa mais completa, é a instalação do plugin Secure WordPress. Além de fazer tal remoção automaticamente, ele também acaba com outras referências a versões, em outros pontos do WordPress, como no feed, e traz outras defesas, como a não-exibição de erros no login, o acréscimo de um index.html virtual no diretório de plugins, entre outras.

Usem com moderação e responsabilidade.

[Via WP Recipes]

Novo WordPress 2.2.3 corrige falhas graves

Posted on 8 de setembro de 2007 by Érico Oliveira

Apesar de estarmos a poucas semanas do lançamento da versão 2.3, Matt e sua equipe decidiram lançar esta versão devido a quantidade de falhas de segurança corrigidas. Provavelmente é a última versão do WordPress 2.2.
Faça o download desta nova versão ou instale o plugin Instant Upgrade e descubra como é fácil atualizar o WordPress.

pBlog

Tudo sobre WordPress

Category Archives: Segurança