content top

Confirme que o seu template Wordpress não foi hackeado

Colocado por Paulo Faustino em Dicas de Segurança @ June 27, 2008 | 12 comentários
WooThemes - Finally a themes club that is here to stay

Ultimamente têm aparecido cada vez mais casos de utilizadores que descarregaram temas Wordpress que continham links internos e o utilizador na verdade sem sabia.
Há também aqueles que sofreram ataques à segurança do blog, e viram uma série de código malicioso injectado no tema, e também não o sabiam.
É importante então saber como confirmar que o template Wordpress que utiliza não foi hackeado, ou que pelo menos não sofreu nenhum ataque à sua segurança e integridade.

Como saber se o seu template foi hackeado?

Uma das formas mais práticas de verificar se o seu template foi hackeado, é abrindo o blog no seu browser e carregando no botão direito do rato para ver o Código Fonte (Source Code) do template.
Geralmente os links ilegais injectados, são colocados no header ou no footer do seu template, pelo que é importante analisar estes dois locais com cuidado.
Esses links são usualmente direccionados para farmácias, drogas, pilulas, cartões de crédito e sistemas afins.

links ilegais

Se utiliza o Firefox, você tem ainda uma outra possibilidade bem interessante.
Abra o separador Ferramentas (Tools), depois clique em Informação de Página (Page Info) e de seguida escolha Links.

Esta secção mostra-lhe uma listagem de todos os endereços URL externos que estão dentro da página que você está a ver, pelo que é extremamente simples encontrar algum link relacionado com farmácias, drogas ou afins.
É aconselhável também, que faça um scan exaustivo a diversos ficheiros do seu template e também aos ficheiros de instalação do Wordpress, na procura de qualquer link ou informação suspeita.

Como resolver o problema de links maliciosos?

Geralmente quando um blog sofre um ataque é porque estava a fazer uso de uma versão do Wordpress inferior. Neste momento o Wordpress está na versão 2.5.1, pelo que utilizar versões anteriores é perigoso do ponto de vista da segurança e integridade do seu blog.
Um dos grandes conselhos que lhe posso dar, é o de se manter actualizado quanto à sua versão do Wordpress. O plugin Automatic Upgrade é a forma mais simples e eficaz de actualizar a sua versão do Wordpress sem correr qualquer tipo de risco.

Outra opção,  será a criação de um ficheiro .htaccess, que apenas possibilite aceder ao painel de administração do seu blog, determinados IPs.
Crie um ficheiro com esse nome e aplique o código seguinte no seu interior:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>

Depois coloque esse ficheiro dentro da pasta /wp-admin/, para bloquear o acesso apenas aos seus IPs, sendo que terá de preencher o código com os IPs que pretende que acedam a essa informação.

Uma última opção poderá ser o desligar da navegação nas directorias, para que ninguém tenha acesso aos plugins que você utiliza, às suas pastas internas e toda a informação acerca do seu tema.
Para fazer isso, procure o ficheiro .htaccess que se encontra na raíz do seu servidor, e adicione a linha de código: Options -Indexes

Há também quem renove as passwords do painel de administração com alguma regularidade, para evitar problemas, e há também que remova o ficheiro theme-editor.php da pasta WP-Admin, embora estas duas acções sejam um pouco mais agressivas do que o recomendado.

Proteja-se e confirme se o seu template Wordpress não foi hackeado!

Até Já!

Partilhe este artigo:
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • BlinkList
  • Blogsvine
  • LinkedIn
  • Ma.gnolia
  • MySpace
  • Netvibes
  • NewsVine
  • Pownce
  • Propeller
  • Rec6
  • Reddit
  • Slashdot
  • Spurl
  • StumbleUpon
  • Technorati
  • Tumblr
  • TwitThis
  • Yahoo! Buzz

Amante do Wordpress ? Talvez queira subscrever o nosso RSS Feed Completo ?

Outros artigos de interesse:



12 Comentarios a “Confirme que o seu template Wordpress não foi hackeado”

  1. Pascoa says:
    28.06.2008 at 05:06

    Mais um grande trabalho, Vais mesmo ficar rico online!
    Força Paulo.

    Pascoa publicou um post sobre..Youtube condenado pelo tribunal Espanhol

  2. Nuno says:
    28.06.2008 at 05:06

    Este blog promete!

    É só informações úteis, mas já agora; como vejo eu a minha banda de IPs?

    Parabéns pela qualidade do conteúdo.

  3. Marcos Elias says:
    29.06.2008 at 12:06

    Interessante a limitação por IP… Mas acaba sendo impraticável para quem usa conexão com IP dinâmico, que muda cada vez que inicia e autentica a conexão com o provedor de acesso. No Brasil pelo menos, praticamente todas as conexões banda larga ADSL residenciais (sem falar as discadas, naturalmente) são assim ¬¬

    Marcos Elias publicou um post sobre..Agendando publicações no Wordpress

  4. Paulo Faustino says:
    29.06.2008 at 05:06

    @ Pascoa
    Obrigado pelo comentário amigo. Fico feliz que já tenhas dado aqui com o WP-Love!

    @ Nuno
    Obrigado pelo comentário colega. Como referiu o Marcos Elias em baixo, para quem utiliza uma gama de IPs dinâmica é complicado, a não ser que coloque o IP do seu router ou o IP de saída para a internet.
    Pode ver isso no DOS digitando “ipconfig”

    @ Marcos Elias
    Obrigado pelo comentário colega. Aqui em Portugal também funciona dessa forma, embora voce tenha um IP de saída no caso de ter um router, ou então mesmo o IP do router.
    Se desse para bloquear o acesso por Mac Adress penso que seria mais vantagoso e interessante, não acha?

    Até Já!

    Paulo Faustino publicou um post sobre..Lançamento do Website Grande-Ecrã.com

  5. Walmar Andrade says:
    30.06.2008 at 12:06

    É preciso ficar atento porque mesmo o Wordpress 2.5.1 pode ter brechas de segurança, é até provável que as tenha. Temos que ficar de olho sempre.

  6. Paulo Faustino says:
    01.07.2008 at 03:07

    Olá Walmar. O próprio Wordpress 2.5.1 já tem algumas falhas de segurança que estão a ser tratadas pelos responsáveis do sistema e que provavelmente serão culmatadas na versão 2.6. Esperemos que seja possível manter a fiabilidade de dados e informação até chegada da nova versão.

    Até Já!

    Paulo Faustino publicou um post sobre..Lançamento do Website Grande-Ecrã.com

  7. Explosivo says:
    06.07.2008 at 12:07

    Bom post. Vou passar a verificar todos estes aspectos quando arranjar um theme novo.

    Explosivo publicou um post sobre..Sam the Kid e Wraygunn na semana da juventude

  8. O que fazer quando o seu blog sofre um ataque? | Fique Rico Online says:
    16.07.2008 at 06:07

    [...] bem os agrupamentos de links e veja se nenhum deles é malicioso. Pode ler mais instruções sobre como proteger-se contra um hackeamento no seu template neste artigo do [...]

  9. Um plugin, muitos estragos no Inversu Magazine says:
    22.08.2008 at 06:08

    [...] Confirme que o seu template Wordpress não foi hackeado (Wordpress-love.com) [...]

  10. ZeroOitocentos Recomenda: Wordpress Love | ZeroOitocentos says:
    24.09.2008 at 01:09

    [...] Confirme que o seu template Wordpress não foi hackeado [...]

  11. Jorge says:
    24.10.2008 at 12:10

    Ola Paulo,

    Podemos apenas autorizar o acesso a certos IP`s, como dizes aqui:

    “Depois coloque esse ficheiro dentro da pasta /wp-admin/, para bloquear o acesso apenas aos seus IPs, sendo que terá de preencher o código com os IPs que pretende que acedam a essa informação.”

    Mas, quando estamos a falar de IP`s dinâmicos, que mudam com frequência, corremos o risco de vermos o nosso IP bloqueado, ou não?

    Abraço,
    Artur

  12. Paulo Faustino says:
    24.10.2008 at 10:10

    Sim, no caso de IP’s dinâmicos poderás até bloquear o acesso a alguém no futuro.
    Infelizmente ainda não há um sistema perfeito.

Deixar resposta

|