Arquivo de etiquetas: segurança wordpress

Testa a segurança do WordPress com o WordPress Exploit Scanner.

O WordPress é sem dúvida a plataforma mais usada para criar blogues e muitos outros tipos de sites.

A grande desvantagem disso é que isso torna-o num alvo apetecível para os atacantes que querem desafiar a segurança do mesmo.

O primeiro passo para estarmos seguros é nosso. Para além de actualizar-mos o WordPress sempre que surja uma nova versão temos de usar uma password segura e não uma password simples do tipo “12345”. Depois é esperar que ninguém descubra uma falha na versão que usamos.

Com o plugin WordPress Exploit Scanner podemos fazer um teste ao nosso blogue a ver se alguém tentou atacar o blogue.

Exploit Scanner WebVicio.com
Este plugin vai pesquisar na base de dados e nos ficheiros a existência de código suspeito. Não nos protege desses ataques apenas nos avisa a medida de protecção tem de ser tomada por nós, quer seja apanhar o código malicioso, quer seja editar a base de dados.

Tenham também atenção aos resultados que são apresentados. Alguns podem ser falsos positivos e serem detectados scripts que usamos no nosso blogue e que ao apagarmos o código podemos fazer com que certas partes do nosso blogue deixem de funcionar.

As supostas ameaças estão dividas por nível de gravidade como por exemplo nível severo ou simples aviso.

Já conheciam este plugin?

Cumprem as medidas de segurança no vosso blogues?

Links 27-09-09.

O Paulo Faustino do fique-rico.com deu 10 dicas essenciais para conseguir uma boa troca de links com outros blogs.

O Ganha do ganhar-online.com está a fazer um concurso de oferta de publicidade através do twitter. Participem.

O Nuno do mkgratis.com dá as razões para se investir em publicidade na internet.

O O Paulo Faustino do wordpress-love.com dá dicas de segurança para o wordpress escondendo as mensagens de erro no login.

Bom resto de domingo.

Links 13-09-09.

Como é hábito ao domingo aqui ficam os habituais links para leitura.

O blog oficial do adsense em português dá algumas dicas para quando os filtros adsense parece que deixam passar mais do que deviam.

O Bruno Alves do blog brpoint.net diz como aumentarmos o tráfego do nosso blog usando palavras-chave que o nosso blog já tem indexadas.

O Nospheratt do blog blosque.com dá o alerta de segurança para quem usa versões mais antigas do wordpress.

O Nuno do blog dominiosfan.com explica como registar dominios typo.

Boas leituras e bom domingo.

AskApache Password Protection Plugin

O AskApache Password Protect é um plugin que vai aumentar em muito a segurança de um blog WordPress.

O que este plugin faz é que vai criar um login e uma password  que é necessária para puder ver os ficheiros dos directórios wp-admin, wp-includes, wp-content e wp-plugins e mais algumas pastas. Para isto o plugin vai alterar o ficheiro .htacess de forma segura, encripta a password e cria um ficheiro htpasswd além de colocar as permissões correctas para uma boa segurança destes 2 ficheiros.

Este plugin não vai proteger contra os ataques de hackers ou crackers mas vai proteger contra os ataques automáticos de bots que percorrem a internet e os blogs a experimentar sempre a mesma maneira de entrar nos sites explorando uma vulnerabilidade. Como quase 100% dos ataques é através dos bots este plugin vai manter a segurança do blgo num nível alto.

É quase como uma parede que impede que os bots entrem no nosso blog com más intenções. Ao tentarem entrar nas pastas vai-lhes aparecer um erro 403 proibido e eles abandonam logo o site porque vêm que a vulnerabilidade que eles tentam explorar está protegida.

Mas ficam duas dicas para quem vai experimentar o plugin:

  • Nenhum plugin é perfeito. Este plugin quando usado com uma versão actualizada do wordpress garante um bom nível de segurança mas como disse não garante 100%. Actualizem sempre o wordpress e tenham sempre backups.
  • Tenham um certo cuidado da primeira vez que instalarem o plugin. Se mexerem nos sitios errados das configurações podem provocar alguns erros no blog por exemplo a postar um novo texto.

Proteger o nosso blog wordpress.

Tenho visto ultimamente algumas noticias de blogs que foram alterados ou eliminados por algum problema de segurança. Assim decidi dar algumas dicas para ajudar a proteger os vossos blogs.

Sinceramente acho o wordpress bastante seguro se se cumprir algumas regras. Como por exemplo ter sempre instalada a ultima versão do wordpress, não deixar a sessão aberta num computador publico etc. Mas aqui ficam mais algumas dicas tiradas do blog do Matt Cutts.

Proteger o directório /wp-admin/.

O seguinte código permite bloquear a pasta de modo que só certos endereços IP consigam aceder à mesma. Podem usar um ficheiro .htaccess que podemos colocar no directório /wp-admin/

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# Lista de IP se aceder em casa
allow from 64.233.169.99
# Lista de IP se aceder no trabalho
allow from 69.147.114.210
allow from 199.239.136.200
# IP enquanto estiver em viagem, apago quando regressar
allow from 128.163.2.27

Traduzi algumas coisas para melhor compreenderem. Assim apenas os IP que introduzirem conseguem aceder a pasta todos os outros são bloqueados.

Criem um ficheiro html em branco na pasta de plugins.

Um dos exploits mais usados para entrar num blog de forma criminosa é através de algum plugin desactualizado. Assim ao criarem um ficheiro index.html em branco no endereço /wp-content/plugins/index.html. Assim quem entrar no directório vai ver uma página em branco e não uma lista dos plugins que usamos alguns dos quais podem estar desactualizados e alguém se aproveitar disso.

Subscrever o blog de desenvolvimento do WordPress.

Assim quando sair alguma actualização ou uma nova versão é anunciada no blog. Depois de sabermos quando sai as actualizações é so actualizar ou aplicar o patch.

Eliminar a possibilidade de ver a versão do wordpress.

Procurem no header.php do vosso theme a seguinte linha (ou parecida)

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

Eliminem a parte “bloginfo(’version’)” assim impedem que quem visitar o blog possa ver a versão e assim descobrir se está ou não desactualizada.

Manter a segurança do blog é muito importante. Se não tomarmos precauções de um momento para o outro podemos ficar sem um blog em que já empenhamos muitas e muitas horas e temos de começar tudo de novo.