COMUNIDADE DO WHATSAPP

GRUPO DO TELEGRAN

FANPAGE

H 8

UNITV

H 7

BRATV

UNITV S1

H STICK

H CAST

IPTV 1

IPTV 2

IPTV 3

IPTV 4

RECEBA ATUALIZAÇÕES POR EMAIL

RECEBA ATUALIZAÇÕES POR EMAIL:

EQUIPE / AZDIGITALTV.COM

WORDPRESS SOB ATAQUE DE HACKERS : VEJA COMO PROTEGER SEU SITE

21:09:00 |

BOM PESSOAL ANTES DE COMEÇAR QUERO QUE SAIBALQUE ISSO TA ACONTECENDO EM BLOGSNA PLATAFORMA WORDPRESS , NADA A VER COM NOSSO BLOG QUE ESTA NA PLATAFORMA BLOGGER , MAS COMO BLOG É BLOG VAMOS SER SOLIDARIOS COM OS AMIGOS DO WORDPRESS E QUEM SABE AJUDAR ALGUEM QUE AINDA ESTEJA DESINFORMADO A SE PROTEGER.


Durante a semana passada, diversas empresas de segurança registraram um crescente ataque de força bruta às contas administrativas do WordPress. Vários provedores de hospedagem e serviços de telecomunicações, incluindo CloudFlare eHostGator tem detectado um pico em páginas e blogs hospedados no WordPress para roubar senhas .
Os ataques a sites que utilizam o WordPress como plataforma para divulgação de conteúdo, que são uma grande maioria na Internet, vem se intensificando dia-adia, e neste final de semana já partem de mais de 90 mil IP’s de usuários domésticos, atingindo servidores em todo o mundo.  Os atacantes tentam utilizar em torno de 1000 combinações mais comuns de usuário e senha como admin, password ou admin e P@ssw0rd (Sim, “P@ssw0rd” é uma senha que todo mundo conhece…). A CloudFlare diz bloqueou 60 milhões desses pedidos em apenas uma hora.
--> O objetivo do ataque é instalar um script malicioso e utilizar os servidores de WordPress, que possuem uma banda consideravelmente maior que os computadores domésticos, para a partir desses servidores realizar um gigantesco ataques de negação de serviço (DDoS). Instituições financeiras dos Estados Unidos já estão sob ataque e uma vez que o número de servidores comprometidos cresça, essa rede de servidores WordPress poderá servir para qualquer finalidade, inclusive para parar serviços essenciais de diversos países.
Os atacantes tentam diversas combinações de usuário + senha e quando conseguem acesso instalam um script que o torna disponível para ser utilizado no que bem entenderem. No entanto, existem algumas ações simples que podem evitar que seu site entre na lista dos sites invadidos e utilizados pelos atacantes.
O Próprio fundador do WordPress, Matt Mullenweg, colocou em seu blog um post aconselhando que os usuários troquem o nome do usuário e a senha, o que é possível de ser feito desde a versão 3.0 do WordPress liberada há mais de 3 anos. Se a versão do WordPress em seu site for inferior à 3.0 seus problemas são muito maiores. Coloque uma senha enorme e complexa para o usuário “Admin” e faça uma pausa na leitura para planejar a atualização da versão de seu WordPress.

1) Crie um novo usuário para administrar seu site: No exemplo abaixo criamos o usuário ZeCarioca, com uma senha forte (Números, Maiúsculas, Minúsculas e Caracteres especiais).

Para se ter uma ideia, as primeiras senhas a serem enviadas para os site como ataque são: 123456, 666666, 111111 e 12345678 . E se elas são as primeiras utilizadas isso significa que são as que mais funcionam.

2) Lembre-se de não utilizar nomes como admin, test, administrator, Admin, e root. Estes são os cinco nomes que estão sendo utilizados para o ataque atual.


3) Verifique a versão de seu WordPress (em 14 de Abril de 2013 a 3.5.1 era a mais atual).

Versões antigas podem conter vulnerabilidades que permitam aos atacantes invadir seu site sem que tenham que descobrir a senha por força bruta.
WP1

4) Faça logoff do usuário Admin e faça logon com o novo usuário (no nosso caso, o Zé Carioca).


5) Apague o usuário admin e atribua todos os posts ao novo usuário (Zé Carioca). Alternativamente, você pode renomear o admin através de um plug-in (passo 7).


6) Instale o Plugin “Limit Login Attempts”. Este plugin mudara o comportamento de logon do seu site para:


  1. Bloquear o acesso de seu IP à interface administrativa por 20 minutos após 4 tentativas erradas de logon
  2. Bloquear o acesso de seu IP à interface administrativa por 24 horas após 4 bloqueios de 20 minutos.


--> 7) Neste ponto, você já está suficientemente protegido contra o ataque de hoje, mas caso queira aumentar ainda mais a sua segurança, existem Plugins como o “Better wp Secuity” Este tipo de plugin que te ajuda a fazer um “Hardening” na sua página, ou seja, configurá-la para obter um padrão de segurança mais alto. Nós recomendamos o uso desse plugin somente para quem possui uma compreensão melhor do funcionamento dos sites no WordPress, e somente depois de exportar o site e fazer um backup do banco. Veja abaixo algumas das possíveis alterações:
  1. Varrer o site e corrigir vulnerabilidades existentes
  2. Renomear o usuário Admin
  3. Remover mensagens de erro de login
  4. Criar e enviar por e-mail backups regulares da base de dados
  5. Mudar as URL’s para funções como login, administração, etc.
  6. Exibir um número de versão aleatória do WordPress para usuários que não forem administradores
  7. Exigir que todos usuários usem senhas fortes
  8. Detectar e conter inúmeros tipos de ataque

FONTENOTI
 

0 comentários:

Postar um comentário