Ultimamente têm aparecido cada vez mais casos de utilizadores que descarregaram temas WordPress que continham links internos e o utilizador na verdade sem sabia.
Há também aqueles que sofreram ataques à segurança do blog, e viram uma série de código malicioso injectado no tema, e também não o sabiam.
É importante então saber como confirmar que o template WordPress que utiliza não foi hackeado, ou que pelo menos não sofreu nenhum ataque à sua segurança e integridade.
Como saber se o seu template foi hackeado?
Uma das formas mais práticas de verificar se o seu template foi hackeado, é abrindo o blog no seu browser e carregando no botão direito do rato para ver o Código Fonte (Source Code) do template.
Geralmente os links ilegais injectados, são colocados no header ou no footer do seu template, pelo que é importante analisar estes dois locais com cuidado.
Esses links são usualmente direccionados para farmácias, drogas, pilulas, cartões de crédito e sistemas afins.
Se utiliza o Firefox, você tem ainda uma outra possibilidade bem interessante.
Abra o separador Ferramentas (Tools), depois clique em Informação de Página (Page Info) e de seguida escolha Links.
Esta secção mostra-lhe uma listagem de todos os endereços URL externos que estão dentro da página que você está a ver, pelo que é extremamente simples encontrar algum link relacionado com farmácias, drogas ou afins.
É aconselhável também, que faça um scan exaustivo a diversos ficheiros do seu template e também aos ficheiros de instalação do WordPress, na procura de qualquer link ou informação suspeita.
Como resolver o problema de links maliciosos?
Geralmente quando um blog sofre um ataque é porque estava a fazer uso de uma versão do WordPress inferior. Neste momento o WordPress está na versão 2.5.1, pelo que utilizar versões anteriores é perigoso do ponto de vista da segurança e integridade do seu blog.
Um dos grandes conselhos que lhe posso dar, é o de se manter actualizado quanto à sua versão do WordPress. O plugin Automatic Upgrade é a forma mais simples e eficaz de actualizar a sua versão do WordPress sem correr qualquer tipo de risco.
Outra opção, será a criação de um ficheiro .htaccess, que apenas possibilite aceder ao painel de administração do seu blog, determinados IPs.
Crie um ficheiro com esse nome e aplique o código seguinte no seu interior:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>
Depois coloque esse ficheiro dentro da pasta /wp-admin/, para bloquear o acesso apenas aos seus IPs, sendo que terá de preencher o código com os IPs que pretende que acedam a essa informação.
Uma última opção poderá ser o desligar da navegação nas directorias, para que ninguém tenha acesso aos plugins que você utiliza, às suas pastas internas e toda a informação acerca do seu tema.
Para fazer isso, procure o ficheiro .htaccess que se encontra na raíz do seu servidor, e adicione a linha de código: Options -Indexes
Há também quem renove as passwords do painel de administração com alguma regularidade, para evitar problemas, e há também que remova o ficheiro theme-editor.php da pasta WP-Admin, embora estas duas acções sejam um pouco mais agressivas do que o recomendado.
Proteja-se e confirme se o seu template WordPress não foi hackeado!
Até Já!
