Falha de Segurança no WordPress
Muito se tem falado na internet e nos grandes fóruns de renome, como o DigitalPoint, que há uma falha se segurança no WordPress que tem permitido muitos ataques de hackers a blogs que tenham uma das últimas versões do wordpress, que apesar de ser um problema conhecido, existem pessoas que ainda não o conhecem . Há um consenso de que estas sejam as versões 2.3, 2.5 e 2.6. Com total incidência na versão 2.6, visto que eu por exemplo ainda tenho a versão 2.5 e não verifiquei essa falha, já em blogs amigos com a versão 2.6 ela está lá. Provavelmente o que acontece é o problema estar desde versões bem anteriores e as novas não o corrigirem…
A falha está no directório dos plugins, ou seja, pesquisando no google por index wp-content/plugins qualquer pessoa está habilitada a aceder às mais diversas pastas dos plugins e roubá-los, e visto que muitos deles são pagos pode ser perigoso. Deixa de o ser, porque a maioria dos plugins pagos requerem ou uma password que foi enviada para o e-mail ou coisas afins. Não deixa de criar instabilidade, porque muita informação pode ser roubada por esses malditos hackers.
Querendo que isso não aconteça aconselho a todos vós que sigam os seguintes passos para resolver o problema.
Antes de tudo tente aceder à sua própria pasta wp-content/plugins, se aparecer uma mensagem a dizer “Nothing Found”, o que está abaixo não lhe interessa porque você já estará protegido.
Senão…
Criem então um ficheiro com o nome index.html e façam o seu upload para a pasta /wp-content/plugins/. Assim quando alguém tentar aceder a essa pasta verá uma página em branco, mas onde pode colocar uma mensagem ao seu gosto. Pode sempre escrever essa mensagem no WordPress e depois copiar o código HTML e colar nesse ficheiro html através do bloco de notas que tem no seu windows.
É tudo para que consiga proteger os seus dados. No meu caso não foi preciso, mas parece que existem muitos e muitos bloggers que têm as pastas totalmente a descoberto, pesquise no google pelos blogs dos seus amigos também e tente alertá-los.
Já agora, e que falo em segurança em WordPress, o Paulo Faustino conseguiu resolver um problema que teve no seu servidor à dias. Para quem ainda não leu, acho que é muito importante para completar este post e para certificar que os seus níveis de segurança estão em máximo! Visite este link para saber como o Paulo resolveu o seu ataque de “Exploits”…(ou algo do género…ehheeeheh).
Abraço e Boa Semana
4 Comentários on “Falha de Segurança no WordPress”
Olá Muhammad, obrigado pela referência.
De facto o ataque foi também ao nível dos plugins e presumo que tenha sido por essa falha de segurança que ele conseguiu entrar no servidor principal. Entretanto já fechei o acesso a uma série de pastas com redirects para a homepage, como por exemplo a /images e a /wp-admin.
Abraço.
Paulo Faustinos last blog post..Trackbacks da semana 28 – o melhor do blogging em Português
Boas Paulo. Eu estive a verificar em alguns blogs meus e de facto as pastas estavam abertas. Já resolvi com o redirect!
Abraço!
Eu já faço isso, colocando geralmente _|_ (um dedo do meio hehe) na página, já que em condições normais um visitante comum nunca entraria nela.
Marcos. Não resisti em lá ir espreitar e está mesmo o Dedo…hehehehe
Abraço!