Recebi na Segunda um email do Diogo Iglésias a chamar-me a atenção para uma falha na segurança do blog. A falha em questão permitia a qualquer pessoa aceder à pasta dos plugins que tenho aqui instalados no blog, bastando para tal procurar em htttp://dinheirooportunidade.com/wp-content/plugins/, e depois explorar qualquer vulnerabilidade num destes plugins.
Apesar de ser uma falha relativamente grave, é muito fácil de resolver. Basta criar um ficheiro vazio com o nome de “index.html”, e colocá-la na pasta dos plugins. Agora, quem tentar aceder a pasta dos plugins vai dar com uma página em branco.
Já que vamos andar a mexer em ficheiros, vou aqui partilhar mais três medidas que ajudam o tornar um blog mais seguro.
A primeira consiste em retirar do header no blog a informação relativa a que versão de WordPress estamos a usar. Para tal basta retirar a seguinte linha de código do ficheiro header.php:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Podem se quiser substituir antes por esta linha:
<meta name="generator" content="WordPress" />
Outra medida preventiva que podem tomar é bloquear o Google de indexar alguns ficheiros importantes do WordPress. Para tal basta adicionarem a seguinte linha de código ao ficheiro robots.txt:
Disallow: /wp-
Isto partindo do princípio que o vosso blog esta instalado na pasta principal do domínio, caso contrário metem também o nome da pasta onde se encontra o blog (Disallow: /nomedapasta/wp-). Este comando impede que o Google indexe todos os ficheiros que começam com “wp-“.
A última medida que vou recomendar é a instalação do plugin LoginLock. Este plugin bloqueia qualquer endereço de IP de tentar quebrar o nosso password depois de um número pré-determidado de tentativas.
É claro que nenhuma destas medidas torna o nosso blog completamente invulnerável, mas o objectivo é dificultar ao máximo o trabalho de qualquer hacker.
Quem quiser acrescentar outras medidas de segurança pode deixar sugestões nos comentários.
Tags: Blogging
Poderá também gostar de:
10 comentários em “Medidas para melhorar a segurança do teu blog”
Deixe o seu comentário
Ganhe até 3000 euros com apostas seguras
Como Ganhar Dinheiro
Faça do seu celular um negócio lucrativo. Sem investimento inicial ou mensalidade
Anúncios no Brasil - Classificados GrátisGanhe dinheiro apenas assistindo Futebol!
Compre com desconto! Receba 25 licitações gratuitas!
O teu link aqui. Apenas €7 por mês
- Já conheces o programa de afiliados da ZeekRewards e a Zeekler?
- Budapeste – Bonita, barata, termas e a minha terceira estrela Michelin
- Pinguins, negative SEO e outras coisas importantes para o teu site
- Benefícios e importância da escolha de um nicho específico
- Ganha garrafas de vinho Quinta Nova Colheita
Uma coisa que eu penso em fazer, mas ainda não tentei por falta de tempo, é renomear a pasta “wp-admin”. Creio que daria algum erro, talvez teria que alterar algumas referências em vários arquivos do WordPress, mas poderia ser de grande valia.
Marcos Elias – Vem ler o meu post mais recente… A ICANN poderá liberar domínios com qualquer extensão (se for aprovado…)
Por acaso as duas primeiras coisas já tenho feito desde que criei o blog
, remover a versão e index na pasta de plugin
Rúben M. – Vem ler o meu post mais recente… Andaler no Planetuga
Ótimo tema.
A maioria das invasões a blogs WordPress ocorrem não por falhas nele, mas sim nos plugins nele instalados.
E faz sentido! Como qualquer pessoa pode criar e distribuir plugins, não há garantias que o código siga quaisquer padrões de qualidade, e portanto, de segurança.
Por isso, não devemos sair instalando todos os plugins que encontramos pela frente. É sempre bom verificar se ele é famoso, se bastante gente usa etc. Além disso, não mantenham plugins que não utilizam no servidor (não basta desativá-los, é necessário removê-los do servidor).
E o mais importante: utilizem sempre a versão mais recente dos plugins! E claro, do WordPress. Muitas atualizações existem justamente pra corrigir vulnerabilidades.
Aqui é sempre a aprender,
o index.html ainda não sabia e ao que parece é básica.
Deixo aqui um link com 10 medidas para proteger o blog http://www.wordpress-pt.com/2008/02/21/10-medidas-de-seguranca-a-implementar-no-seu-blog-wordpress/
Boas Custódio. Obrigado por postares isto e mais essas dicas, penso que vão benefeciar muita gente.
Cumprimentos
Diogo Iglésias
São coisas básicas mas sobre a versão apenas faz sentido caso se use uma versão antiga por qualquer motivo pois de resto..
asturmas – Vem ler o meu post mais recente… A inovação da PTServidor.com
Custódio, belo post. Queria acrescentar duas coisas ao que vc falou: 1- deve-se sempre entrar em contato com o suporte do seu web host para verificar se todas as permissões nos arquivos estão setadas para somente leitura e execução, nenhuma pasta deve estar com permissão de escrita para os usuários da internet. E a segunda eh sempre escolher BOAS senhas. Números, sinais de pontuação, letras maiúsculas e minúsculas sempre devem estar dentro de uma senha.
Obrigado pelo aviso e pelas dicas
bfms – Vem ler o meu post mais recente… Na tua opinião, qual será o tema polémico de Verão?
sobre isso eu ainda não tinha lido, mas obrigado pelo toque.
Luis – Vem ler o meu post mais recente… Personagens de desenhos animados. Hoje!
Tô criando um site e estou meio preocupado com a segurança. Já coloquei o index vazio na pasta de plugins.