Previsão de dias difíceis para blogs WordPress

Quero ser cliente da PortoFácil!Contato

 

É notória a quantidade de “vírus” e “malware” existente para o ambiente Windows, a ponto de muitos o considerarem como o pior sistema operacional da atualidade. Mas, de fato, o que propicia a proliferação dessas ameças e “pragas virtuais” é exclusivamente a popularidade do sistema: segundo a Wikipedia aproximadamente 92% dos computadores do mundo usam alguma versão do Windows.

No caso do WordPress, acontece fenômeno semelhante: ele é disparado a mais popular plataforma de blogs em uso atualmente; a grande oferta de plugins e temas, e a facilidade de se programar em cima do WP para adicionar funcionalidades o tornam ainda mais atraente, o que deve confirmar sua popularidade por ainda mais alguns anos. Essa mesma popularidade o torna alvo de todo tipo de gente mal intencionada, cujo objetivo é explorar vulnerabilidades que possam levar ao controle da máquina.

A título de curiosidade: muito poucos são os crackers que invadem sistemas alheios para praticar desfiguração de sites; a maioria deseja mesmo é permanecer oculta pelo máximo de tempo, para poder roubar recursos computacionais dos servidores, normalmente para enviar spam ou para rodar servidores de jogos ou de IRC.

O que está prestes a acontecer (na verdade, dizem que já está acontecendo) é que uma botnet com 90.000 (isso mesmo, noventa mil) máquinas está programada para fazer ataques de força bruta contra blogs WordPress. As máquinas da botnet tentam invadir o WP utilizando o usuário admin, a partir do qual podem inserir códigos maldosos nas contas de hospedagem, vindo a criar uma rede não de PCs zumbis, mas de servidores zumbis, o que é muito mais preocupante, porque servidores costumam ter poderosas conexões de rede, e não raro hardware de sobra para as necessidades dos sites rodando neles.

A situação parece preocupante, e realmente é. Mas você pode e deve tomar atitudes relativamente simples para proteger seus blogs.

Como proteger seu blog WordPress

Utilizar senhas fortes

A recomendação mais óbvia também é a mais importante: utilize senhas fortes na Internet. Se não tiver paciência para inventar uma senha forte, utilize o Gerador de Senhas da Via Hospedagem.

Já falamos sobre a importância de senhas fortes, e agora adicionamos mais algumas informações.

Uma senha forte vai ter no mínimo as características abaixo:

  • não parecerá óbvia a um estranho que a veja;
  • terá pelo menos 8 caracteres de tamanho (quanto mais melhor);
  • alternará algarismos e letras do alfabeto.

As características abaixo são desejáveis para tornar a senha ainda mais forte:

  • incluir algarismos e letras maiúsculas e minúsculas;
  • melhor ainda se incluir símbolos especiais, como sinais de pontuação e de operações matemáticas.

Da mesma forma, é importante que nenhum blog tenha um usuário com o nome “admin”, porque este é justamente o alvo do ataque, e só o é devido à má prática dos blogueiros de não se preocuparem com os usuários de seus WPs.

Ocultar a área administrativa

Os crackers não vão perder tempo em tentar invadir blogs que tenham seus links de login e área administrativa em locais fora do padrão, já que para cada um que faz isso há milhares que não estão nem aí para a possibilidade.

Limitar as tentativas de login errado

Configurar uma quantidade máxima de tentativas de login, após as quais o IP será impedido de novas tentativas, pode ser fundamental para manter a saúde de seu WordPress (conforme já falamos anteriormente também).

Um plugin para tudo isso

Para todas as fraquezas acima mencionadas, as respectivas correções podem ser obtidas com o plugin Better WordPress Security. Há um excelente tutorial a respeito dele no site da Via Hospedagem: Segurança WordPress: protegendo a casa com o Better WP Security.

Ajuda externa

Para quem quiser reforçar as defesas contra esse tipo de ataque, há ainda duas medidas adicionais que podem ser tomadas.

  • Usuários de máquinas cPanel podem tirar vantagem do ModSecurity, com regras específicas para tratar deste problema. O processo de inclusão desta regra nos servidores dos clientes já começou, e nas próximas horas todos estarão com a devida proteção ativa.
  • Todos os usuários do WordPress podem defender seus blogs deste ataque ativando a CloudFlare em seus domínios. Até mesmo as contas gratuitas contam com proteção para este ataque.

Ajuda adicional

Caso precise de ajuda para dar segurança ao seu WordPress, ou tenha alguma dúvida sobre o assunto, basta abrir um chamado e teremos prazer em ajudar.

 

Quero ser cliente da PortoFácil!Contato

Compartilhe