Recebi na Segunda um email do Diogo Iglésias a chamar-me a atenção para uma falha na segurança do blog. A falha em questão permitia a qualquer pessoa aceder à pasta dos plugins que tenho aqui instalados no blog, bastando para tal procurar em htttp://dinheirooportunidade.com/wp-content/plugins/, e depois explorar qualquer vulnerabilidade num destes plugins.
Apesar de ser uma falha relativamente grave, é muito fácil de resolver. Basta criar um ficheiro vazio com o nome de “index.html”, e colocá-la na pasta dos plugins. Agora, quem tentar aceder a pasta dos plugins vai dar com uma página em branco.
Já que vamos andar a mexer em ficheiros, vou aqui partilhar mais três medidas que ajudam o tornar um blog mais seguro.
A primeira consiste em retirar do header no blog a informação relativa a que versão de WordPress estamos a usar. Para tal basta retirar a seguinte linha de código do ficheiro header.php:
<meta name="generator" content="WordPress <?php bloginfo(’version’); ?>” />
Podem se quiser substituir antes por esta linha:
<meta name="generator" content="WordPress" />
Outra medida preventiva que podem tomar é bloquear o Google de indexar alguns ficheiros importantes do WordPress. Para tal basta adicionarem a seguinte linha de código ao ficheiro robots.txt:
Disallow: /wp-
Isto partindo do princÃpio que o vosso blog esta instalado na pasta principal do domÃnio, caso contrário metem também o nome da pasta onde se encontra o blog (Disallow: /nomedapasta/wp-). Este comando impede que o Google indexe todos os ficheiros que começam com “wp-“.
A última medida que vou recomendar é a instalação do plugin LoginLock. Este plugin bloqueia qualquer endereço de IP de tentar quebrar o nosso password depois de um número pré-determidado de tentativas.
É claro que nenhuma destas medidas torna o nosso blog completamente invulnerável, mas o objectivo é dificultar ao máximo o trabalho de qualquer hacker.
Quem quiser acrescentar outras medidas de segurança pode deixar sugestões nos comentários.
Bem-vindo ao blog de como ganhar dinheiro na internet! Se é um visitante novo subscreva o feed RSS do blog. Obrigado pela visita!
Compra um link!
9 Comentários
Comment de Uma coisa que eu penso em fazer, mas ainda não tentei por falta de tempo, é renomear a pasta “wp-admin”. Creio que daria algum erro, talvez teria que alterar algumas referências em vários arquivos do Wordpress, mas poderia ser de grande valia.
Marcos Elias - Vem ler o meu post mais recente… A ICANN poderá liberar domÃnios com qualquer extensão (se for aprovado…)
Por acaso as duas primeiras coisas já tenho feito desde que criei o blog ;), remover a versão e index na pasta de plugin
Rúben M. - Vem ler o meu post mais recente… Andaler no Planetuga
Ótimo tema.
A maioria das invasões a blogs Wordpress ocorrem não por falhas nele, mas sim nos plugins nele instalados.
E faz sentido! Como qualquer pessoa pode criar e distribuir plugins, não há garantias que o código siga quaisquer padrões de qualidade, e portanto, de segurança.
Por isso, não devemos sair instalando todos os plugins que encontramos pela frente. É sempre bom verificar se ele é famoso, se bastante gente usa etc. Além disso, não mantenham plugins que não utilizam no servidor (não basta desativá-los, é necessário removê-los do servidor).
E o mais importante: utilizem sempre a versão mais recente dos plugins! E claro, do Wordpress. Muitas atualizações existem justamente pra corrigir vulnerabilidades.
Aqui é sempre a aprender,
o index.html ainda não sabia e ao que parece é básica.
Deixo aqui um link com 10 medidas para proteger o blog http://www.wordpress-pt.com/2008/02/21/10-medidas-de-seguranca-a-implementar-no-seu-blog-wordpress/
Boas Custódio. Obrigado por postares isto e mais essas dicas, penso que vão benefeciar muita gente.
Cumprimentos
Diogo Iglésias
São coisas básicas mas sobre a versão apenas faz sentido caso se use uma versão antiga por qualquer motivo pois de resto..
asturmas - Vem ler o meu post mais recente… A inovação da PTServidor.com
Custódio, belo post. Queria acrescentar duas coisas ao que vc falou: 1- deve-se sempre entrar em contato com o suporte do seu web host para verificar se todas as permissões nos arquivos estão setadas para somente leitura e execução, nenhuma pasta deve estar com permissão de escrita para os usuários da internet. E a segunda eh sempre escolher BOAS senhas. Números, sinais de pontuação, letras maiúsculas e minúsculas sempre devem estar dentro de uma senha.
Obrigado pelo aviso e pelas dicas 
bfms - Vem ler o meu post mais recente… Na tua opinião, qual será o tema polémico de Verão?
sobre isso eu ainda não tinha lido, mas obrigado pelo toque.
Luis - Vem ler o meu post mais recente… Personagens de desenhos animados. Hoje!
Lê o blog por RSS
Lê o blog por email
Recebe os comentários
Segue-me no Twitter
Comunidade MyBlogLog
Perfil no Hi5
Perfil no Facebook
Mais posts de interesse: