Confirme que o seu template Wordpress não foi hackeado
Ultimamente têm aparecido cada vez mais casos de utilizadores que descarregaram temas Wordpress que continham links internos e o utilizador na verdade sem sabia.
Há também aqueles que sofreram ataques à segurança do blog, e viram uma série de código malicioso injectado no tema, e também não o sabiam.
É importante então saber como confirmar que o template Wordpress que utiliza não foi hackeado, ou que pelo menos não sofreu nenhum ataque à sua segurança e integridade.
Como saber se o seu template foi hackeado?
Uma das formas mais práticas de verificar se o seu template foi hackeado, é abrindo o blog no seu browser e carregando no botão direito do rato para ver o Código Fonte (Source Code) do template.
Geralmente os links ilegais injectados, são colocados no header ou no footer do seu template, pelo que é importante analisar estes dois locais com cuidado.
Esses links são usualmente direccionados para farmácias, drogas, pilulas, cartões de crédito e sistemas afins.
Se utiliza o Firefox, você tem ainda uma outra possibilidade bem interessante.
Abra o separador Ferramentas (Tools), depois clique em Informação de Página (Page Info) e de seguida escolha Links.
Esta secção mostra-lhe uma listagem de todos os endereços URL externos que estão dentro da página que você está a ver, pelo que é extremamente simples encontrar algum link relacionado com farmácias, drogas ou afins.
É aconselhável também, que faça um scan exaustivo a diversos ficheiros do seu template e também aos ficheiros de instalação do Wordpress, na procura de qualquer link ou informação suspeita.
Como resolver o problema de links maliciosos?
Geralmente quando um blog sofre um ataque é porque estava a fazer uso de uma versão do Wordpress inferior. Neste momento o Wordpress está na versão 2.5.1, pelo que utilizar versões anteriores é perigoso do ponto de vista da segurança e integridade do seu blog.
Um dos grandes conselhos que lhe posso dar, é o de se manter actualizado quanto à sua versão do Wordpress. O plugin Automatic Upgrade é a forma mais simples e eficaz de actualizar a sua versão do Wordpress sem correr qualquer tipo de risco.
Outra opção, será a criação de um ficheiro .htaccess, que apenas possibilite aceder ao painel de administração do seu blog, determinados IPs.
Crie um ficheiro com esse nome e aplique o código seguinte no seu interior:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>
Depois coloque esse ficheiro dentro da pasta /wp-admin/, para bloquear o acesso apenas aos seus IPs, sendo que terá de preencher o código com os IPs que pretende que acedam a essa informação.
Uma última opção poderá ser o desligar da navegação nas directorias, para que ninguém tenha acesso aos plugins que você utiliza, às suas pastas internas e toda a informação acerca do seu tema.
Para fazer isso, procure o ficheiro .htaccess que se encontra na raíz do seu servidor, e adicione a linha de código: Options -Indexes
Há também quem renove as passwords do painel de administração com alguma regularidade, para evitar problemas, e há também que remova o ficheiro theme-editor.php da pasta WP-Admin, embora estas duas acções sejam um pouco mais agressivas do que o recomendado.
Proteja-se e confirme se o seu template Wordpress não foi hackeado!
Até Já!
Amante do Wordpress ? Talvez queira subscrever o nosso RSS Feed Completo ?
Outros artigos de interesse:
Mais um grande trabalho, Vais mesmo ficar rico online!
Força Paulo.
Pascoa publicou um post sobre..Youtube condenado pelo tribunal Espanhol
Este blog promete!
É só informações úteis, mas já agora; como vejo eu a minha banda de IPs?
Parabéns pela qualidade do conteúdo.
Interessante a limitação por IP… Mas acaba sendo impraticável para quem usa conexão com IP dinâmico, que muda cada vez que inicia e autentica a conexão com o provedor de acesso. No Brasil pelo menos, praticamente todas as conexões banda larga ADSL residenciais (sem falar as discadas, naturalmente) são assim ¬¬
Marcos Elias publicou um post sobre..Agendando publicações no Wordpress
@ Pascoa
Obrigado pelo comentário amigo. Fico feliz que já tenhas dado aqui com o WP-Love!
@ Nuno
Obrigado pelo comentário colega. Como referiu o Marcos Elias em baixo, para quem utiliza uma gama de IPs dinâmica é complicado, a não ser que coloque o IP do seu router ou o IP de saída para a internet.
Pode ver isso no DOS digitando “ipconfig”
@ Marcos Elias
Obrigado pelo comentário colega. Aqui em Portugal também funciona dessa forma, embora voce tenha um IP de saída no caso de ter um router, ou então mesmo o IP do router.
Se desse para bloquear o acesso por Mac Adress penso que seria mais vantagoso e interessante, não acha?
Até Já!
Paulo Faustino publicou um post sobre..Lançamento do Website Grande-Ecrã.com
É preciso ficar atento porque mesmo o Wordpress 2.5.1 pode ter brechas de segurança, é até provável que as tenha. Temos que ficar de olho sempre.
Olá Walmar. O próprio Wordpress 2.5.1 já tem algumas falhas de segurança que estão a ser tratadas pelos responsáveis do sistema e que provavelmente serão culmatadas na versão 2.6. Esperemos que seja possível manter a fiabilidade de dados e informação até chegada da nova versão.
Até Já!
Paulo Faustino publicou um post sobre..Lançamento do Website Grande-Ecrã.com
Bom post. Vou passar a verificar todos estes aspectos quando arranjar um theme novo.
Explosivo publicou um post sobre..Sam the Kid e Wraygunn na semana da juventude
[...] bem os agrupamentos de links e veja se nenhum deles é malicioso. Pode ler mais instruções sobre como proteger-se contra um hackeamento no seu template neste artigo do [...]
[...] Confirme que o seu template Wordpress não foi hackeado (Wordpress-love.com) [...]
[...] Confirme que o seu template Wordpress não foi hackeado [...]
Ola Paulo,
Podemos apenas autorizar o acesso a certos IP`s, como dizes aqui:
“Depois coloque esse ficheiro dentro da pasta /wp-admin/, para bloquear o acesso apenas aos seus IPs, sendo que terá de preencher o código com os IPs que pretende que acedam a essa informação.”
Mas, quando estamos a falar de IP`s dinâmicos, que mudam com frequência, corremos o risco de vermos o nosso IP bloqueado, ou não?
Abraço,
Artur
Sim, no caso de IP’s dinâmicos poderás até bloquear o acesso a alguém no futuro.
Infelizmente ainda não há um sistema perfeito.