Menu

Tableless

  • Contato
    •
    Imagem post: Cuidado com invasões no WordPress
    Wordpress

    Cuidado com invasões no WordPress

    O WordPress não é perfeito e possui falhas, tome cuidado com possíveis invasões.

    Por
    19

    Um dos principais gerenciadores de conteúdo, o WordPress, possui ainda possui algumas falhas. É necessário ficar atento e tomar cuidado para qualquer situação.

    Há duas semanas, passei sérios problemas com o WordPress, com o blog Papo de Buteco. Nunca tinha passado por uma situação parecida com essa, e por isso que tomar cuidado antes de agir.

    Como verifiquei

    Por otimizar o site, sempre estou verificando como as páginas do blog estão se comportando no Google. Busquei por site:papodebuteco.net para verificar todas as minhas páginas indexas no Google, e obtive o seguinte resultado:

    Ao primeiro olhar, já observei as tags de título das páginas estavam totalmente diferentes, no mínimo estranho, não é? Comecei a estudar a situação, e conclui que neste caso, aconteceu uma espécie de Cloaking, que reproduzia a página normal para o usuário e outra página para o Google.

    De primeira, achei que eram os plug-ins instalados no site que estavam fazendo isso, mas até que o Google me enviou a seguinte mensagem para o Web Master Tools do site:

    Ao acessar o link indicado na mensagem, e realmente foi mostrada uma página com um conteúdo não relacionado ao blog.

    Solucionando o problema

    O que precisa ser feito é: Reinstalar o WordPress para atualizar seus arquivos.

    No próprio painel do gerenciador, é possível fazer essa reinstalação, então nada de apagar todos os arquivos do FTP, enviar novamente e reintegrar com o banco de dados.

    Em seu painel de adiminstração, procure no menu de navegação por Atualizações e siga como na imagem abaixo:

    Depois disso, acessei a página que o Google indicou na mensagem e não tive mais problemas, a página foi carregou com seu conteúdo real.

    Para confirmar, você pode tirar a “prova real” buscando como o Googlebot, que é uma ferramenta encontrada no Google Webmaster Tools.

     

     

     

     

     

    Ao clicar em “Processando” e estiver lendo a página do jeito que deveria ler, com o seu código fonte real, pode ter certeza que o problema foi resolvido.

    Conclusão

    Não se sabe ao certo ainda como essa invasão se manifestou no blog, mas é bom ficar atento a qualquer tipo de propagação estranha relacionada a seu site. O tipo de invasão apresentado no artigo não é único, podem existir outros casos espalhados. A vulnerabilidade pode também está relacionada com o servidor onde o seu site está hospedado.

    As páginas que não entraram no cache do Google depois que o problema foi solucionado, ainda se encontram com o mesmo conteúdo da invasão, se vocês procurarem, ainda acharam algumas páginas assim.

    Apesar de tudo isso, não houve oscilação com o número de visitas do site, ele se mantéu estável. E o número de backlinks apontados para as páginas do blog cresceu, mas com um textos âncora sem relação ao conteúdo real do blog.

    O Cloaking é considerada uma técnica de blackhat pelo Google, caso o problema não fosse solucionado a tempo, o blog poderia ser sofrer algum tipo de punição, veja mais em: http://support.google.com/webmasters/bin/answer.py?hl=pt-BR&answer=66355.

    Se o seu site ainda não é integrado ao Google Web Master Tools, acesse agora e integre! É simples, fácil, e oferece informações importantes para o seu site. Para completar e evitar que algo semelhante aconteça, confira dicas para aumentar a segurança no WordPress.

    Quero aproveitar o espaço para agradecer Leandro Lopes (dono do blog Papo de Buteco), que autorizou a postagem de exemplos relacionados ao blog dele. É importante relatar o que aconteceu, ainda mais com casos verídicos, pois pode acontecer com qualquer um.

    19

    Por Paulo Rodrigues

    Paulo Rodrigues é residente de Salvador-BA, especialista em criação de sites e desenvolvimento web desde de 2008. Foi com o desenvolvimento front-end que se apaixonou por esse caminho sem volta, atualmente além de interfaces, Paulo desenvolve para WordPress.

    http://www.twitter.com/paulorodriguesw

    Mais posts do autor
    • Arthur Ervas

      Seguinte: dei um WHOIS no domínio papodebuteco.net e vi que ele está hospedado na Dreamhost, certo?! Alguns sites meus também estão hospedados na Dreamhost e usando WordPress, e já tive problemas de invasão com TRÊS deles. Acredito que o problema esteja mais relacionado ao Host do que ao WordPress, infelizmente =( No primeiro deles o antivírus Avast! acusava um vírus ao tentar acessar o site (era um escondido no final de todos arquivos PHP). Nos 2 últimos problemas a Dreamhost me avisou dizendo que vários arquivos do site estavam infectados, que ela tinha limpado-os e feito Backup. Tive que reinstalar o WordPress, e por preocaução troquei as senhas do FTP (na verdade agora uso sFTP, é mais seguro).

    • Anderson Tomazeto

      Já tive problemas desse tipo na Dreamhost também!

      No meu caso havia instalado em um subdominio o ZenPhotos para trabalhar o briefing de um cliente e foi nele que ocorreu a vulnerabilidade e afetou todos os outros subdominios.A Dreamhost bloqueou tudo e tiver que reinstalar  tudo também.

      Ou seja, concordo que possa ser mais provedor do que WordPress.

      Att,
      Anderson Tomazeto
      http://www.secaonove.com.br

    • Paulo Rodrigues

      Isso mesmo! Esse tipo de problema é devido ao DreamHost, estou tomando cuidado em relação a isso. Eles enviam sempre um e-mail quando acontece qualquer tipo de “cagada” dessa. Mas o WordPress é às vezes frágil , sempre bom mante-lo atualizado.

      Obrigado pelo depoimento de vocês, é importante deixar a galera ligada do que acontece, isso já aconteceu em dois dominios meus que estão hospedados lá.

      Acho que seguindo com essas dicas, é possível identificar facilmente e resolver o problema. 
      Abraço!

    • Arthur Ervas

      Interessante também na Dreamhost, é, além de usar sFTP, desativar o FTP e usar a opção “Enhanced security” na configuração do usuário (a Dreamhost que indica isto, não sei exatamente para o que serve).

    • Diego Eis

      Um dos motivos de eu ter migrado o Tableless da Dreamhost.

    • Igor Pimentel

      Também acho que é problema com a Dreamhost, tive problema com TRÊS domínios hospedados lá e dois deles nem usava WordPress.

    • Paulo Rodrigues

      Pois é Igor, é estranho, porque todos os dominios em que usava WordPress foi invadido, um que estava sem WP não foi…

      São muitos problemas no servidor, e acho que a DreamHost não passa todas as informações possíveis quando ela informa por e-mail a “tal invasão”, isso já é um problema antigo e sempre acontece… Estou pensando seriamente em trocar de servidor.

      No caso do artigo foi para situar a galera em relação ao WordPress, pois os casos que eu vejo, as pessoas acabam apagando tudo, perdendo tudo por causa desse simples problema…

      E qual servidor você usa hoje? DreamHost ainda ou já trocou?

    • http://twitter.com/boirock boirock

      Tive problemas muito parecidos com WordPress na Tehospedo…

    • Damião Martins

      Já passei por algo parecido há uns dois anos atrás, mas no meu caso foi via Link Injection. Os links de alguma forma ficavam ocultos no código fonte, era visível apenas através dos robôs de busca. Graças à ferramenta “Buscar como GoogleBot” que descobri eles.
      Só aproveitando o assunto, o site http://www.pensaweb.com.br, que me parece ser da equipe aqui do Tableless, está com link injection também.

    • Fábio Assis

      Seu blog (wordpress) sofreu um ataque de “Cloaking” através do seu arquivo (.htaccess), muitas vezes acontece por alguma falha no arquitetura, tema ou até mesmo como comprovado (hospedagem).

      Veja alguns modelos de .htaccess encontrados em hospedagem que sofreram ataques de cloaking – http://bit.ly/HuQAXs

      Ele faz um redirecionamento do site inteiro para domínios em cascata.

      Uma dica de segurança é aplicar no arquivo (.htaccess) a permissão de acesso “0604″.

      Espero ter contribuído!!!

      Abraço a todos…

    • Leandro Cgrillo

      Fui olhar no admin de um wp aqui, não tem essa opcão de reinstalar o wp o_O qual versão que esse wp está rodando? D: to usando o 
      3.3.1

    • Angelo Lucas

      Também uso o Dreamhost, e tenho várias instalações de wordpress. Tive o mesmo problema de invasão, foi infectado todos os arquivos .php, com um código malicioso no início de todos os arquivos, em alguns arquivos, eu deletei os códigos maliciosos, mas um dia depois voltou, fiz isso 2 vezes, até eu mudar a senha do FTP, então cessou os ataques.

    • Angelo Lucas

      só esqueci de avisar, que foram infectados TODOS os arquivos .php do servidor, e não só do wordpress

    • Fabio

      Olha, será que nosso amigo não está usando o Publicar via e-mail, e esse endereço recebeu SAPM ?

    • Guilherme Velloso

      Talvez algum tutorial de invasão de wordpress focado para este servidor esteja rolando na net, o que acaba trazendo muito peroba a fazer cagadas como estas..rs

      Mas como foi dito aqui o wordpress não é perfeito e existem inúmeras formas simples de se invadir por wordpress. O lance é utilizar de todas as técnicas possíveis para melhor a proteção do seu WP.

      Assiste uma palestra recentemente sobre segurança digital onde o cara mostra a facilidade de se criar um plugin com arquivos maliciosos e ser aprovado sem dificuldade alguma. Claro que depois de aprovado o plugin e ser liberado pelo WP ele retirou o plugin…Mas o plugin conseguia pegar todas as informações do BD, servidor e etc…e ainda cria um usuário admin que mesmo você deletando ele recria automaticamente…rs

      Enfim as dicas foram uteis mas o problema ainda está longe de acabar…hehehe
      Abração e parabéns pelo post.

    • Yan

      Alguém sabe se existe uma maneira de proteger o .htaccess? Ou o servidor tem a brecha mesmo?

    • http://twitter.com/pesbrasil Claudio (aglioeolio)

      Tive problema sério de virus com o wordpress só quando hospedei no plano gridserver do Mediatemple. Foi um estrago em centenas de sites do mesmo cluster, mas eles descobriram logo a causa e recuperaram todos os arquivos.

      Desde esse problema o que costumo fazer é colocar no rodapé do htaccess isso:

      Order allow,deny
      Deny from all

    • http://www.facebook.com/cristaodauniversal Alexandre Fernandes

      É uma invasão ao servidor. O script coloca dentro de uma postagem o link dentro do texto e você só identifica quando o google te manda ou alguém comenta sobre o assunto.

    • http://www.facebook.com/cristaodauniversal Alexandre Fernandes

      É uma invasão ao servidor. O script coloca dentro de uma postagem o link dentro do texto e você só identifica quando o google te manda ou alguém comenta sobre o assunto.

    Mais artigos