Ultimamente têm aparecido cada vez mais casos de utilizadores que descarregaram temas WordPress que continham links internos e o utilizador na verdade sem sabia.
Há também aqueles que sofreram ataques à segurança do blog, e viram uma série de código malicioso injectado no tema, e também não o sabiam.
É importante então saber como confirmar que o template WordPress que utiliza não foi hackeado, ou que pelo menos não sofreu nenhum ataque à sua segurança e integridade.
Como saber se o seu template foi hackeado?
Uma das formas mais práticas de verificar se o seu template foi hackeado, é abrindo o blog no seu browser e carregando no botão direito do rato para ver o Código Fonte (Source Code) do template.
Geralmente os links ilegais injectados, são colocados no header ou no footer do seu template, pelo que é importante analisar estes dois locais com cuidado.
Esses links são usualmente direccionados para farmácias, drogas, pilulas, cartões de crédito e sistemas afins.
Se utiliza o Firefox, você tem ainda uma outra possibilidade bem interessante.
Abra o separador Ferramentas (Tools), depois clique em Informação de Página (Page Info) e de seguida escolha Links.
Esta secção mostra-lhe uma listagem de todos os endereços URL externos que estão dentro da página que você está a ver, pelo que é extremamente simples encontrar algum link relacionado com farmácias, drogas ou afins.
É aconselhável também, que faça um scan exaustivo a diversos ficheiros do seu template e também aos ficheiros de instalação do WordPress, na procura de qualquer link ou informação suspeita.
Como resolver o problema de links maliciosos?
Geralmente quando um blog sofre um ataque é porque estava a fazer uso de uma versão do WordPress inferior. Neste momento o WordPress está na versão 2.5.1, pelo que utilizar versões anteriores é perigoso do ponto de vista da segurança e integridade do seu blog.
Um dos grandes conselhos que lhe posso dar, é o de se manter actualizado quanto à sua versão do WordPress. O plugin Automatic Upgrade é a forma mais simples e eficaz de actualizar a sua versão do WordPress sem correr qualquer tipo de risco.
Outra opção, será a criação de um ficheiro .htaccess, que apenas possibilite aceder ao painel de administração do seu blog, determinados IPs.
Crie um ficheiro com esse nome e aplique o código seguinte no seu interior:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>
Depois coloque esse ficheiro dentro da pasta /wp-admin/, para bloquear o acesso apenas aos seus IPs, sendo que terá de preencher o código com os IPs que pretende que acedam a essa informação.
Uma última opção poderá ser o desligar da navegação nas directorias, para que ninguém tenha acesso aos plugins que você utiliza, às suas pastas internas e toda a informação acerca do seu tema.
Para fazer isso, procure o ficheiro .htaccess que se encontra na raíz do seu servidor, e adicione a linha de código: Options -Indexes
Há também quem renove as passwords do painel de administração com alguma regularidade, para evitar problemas, e há também que remova o ficheiro theme-editor.php da pasta WP-Admin, embora estas duas acções sejam um pouco mais agressivas do que o recomendado.
Proteja-se e confirme se o seu template WordPress não foi hackeado!
Até Já!
Pascoa
Mais um grande trabalho, Vais mesmo ficar rico online!
Força Paulo.
Pascoa publicou um post sobre..Youtube condenado pelo tribunal Espanhol
Nuno
Este blog promete!
É só informações úteis, mas já agora; como vejo eu a minha banda de IPs?
Parabéns pela qualidade do conteúdo.
Marcos Elias
Interessante a limitação por IP… Mas acaba sendo impraticável para quem usa conexão com IP dinâmico, que muda cada vez que inicia e autentica a conexão com o provedor de acesso. No Brasil pelo menos, praticamente todas as conexões banda larga ADSL residenciais (sem falar as discadas, naturalmente) são assim ¬¬
Marcos Elias publicou um post sobre..Agendando publicações no WordPress
Paulo Faustino
@ Pascoa
Obrigado pelo comentário amigo. Fico feliz que já tenhas dado aqui com o WP-Love!
@ Nuno
Obrigado pelo comentário colega. Como referiu o Marcos Elias em baixo, para quem utiliza uma gama de IPs dinâmica é complicado, a não ser que coloque o IP do seu router ou o IP de saída para a internet.
Pode ver isso no DOS digitando “ipconfig”
@ Marcos Elias
Obrigado pelo comentário colega. Aqui em Portugal também funciona dessa forma, embora voce tenha um IP de saída no caso de ter um router, ou então mesmo o IP do router.
Se desse para bloquear o acesso por Mac Adress penso que seria mais vantagoso e interessante, não acha?
Até Já!
Paulo Faustino publicou um post sobre..Lançamento do Website Grande-Ecrã.com
Walmar Andrade
É preciso ficar atento porque mesmo o WordPress 2.5.1 pode ter brechas de segurança, é até provável que as tenha. Temos que ficar de olho sempre.
Paulo Faustino
Olá Walmar. O próprio WordPress 2.5.1 já tem algumas falhas de segurança que estão a ser tratadas pelos responsáveis do sistema e que provavelmente serão culmatadas na versão 2.6. Esperemos que seja possível manter a fiabilidade de dados e informação até chegada da nova versão.
Até Já!
Paulo Faustino publicou um post sobre..Lançamento do Website Grande-Ecrã.com
Explosivo
Bom post. Vou passar a verificar todos estes aspectos quando arranjar um theme novo.
Explosivo publicou um post sobre..Sam the Kid e Wraygunn na semana da juventude
Jorge
Ola Paulo,
Podemos apenas autorizar o acesso a certos IP`s, como dizes aqui:
“Depois coloque esse ficheiro dentro da pasta /wp-admin/, para bloquear o acesso apenas aos seus IPs, sendo que terá de preencher o código com os IPs que pretende que acedam a essa informação.”
Mas, quando estamos a falar de IP`s dinâmicos, que mudam com frequência, corremos o risco de vermos o nosso IP bloqueado, ou não?
Abraço,
Artur
Paulo Faustino
Sim, no caso de IP’s dinâmicos poderás até bloquear o acesso a alguém no futuro.
Infelizmente ainda não há um sistema perfeito.