Acesso Clientes

Email

Password

Lembrar


Por favor, faça Login ou Registe-se

Contacto

  • Telefone:219 170 955
  • Horário:9:30 ás 13:00 e das 15:00 ás 17:30
  • Email Comercial:info@chrome.pt
  • Email Suporte:suporte@chrome.pt

Fechar Suporte

Suporte

Ataque Global a sites com WordPress

Ataque Global a sites com WordPress
  • 13
    Abr

Ataque Global a sites com WordPress

Está em curso um um ataque global altamente distribuído, a sites com instalações wordpress, por forma a tomarem contas de administrador e fazer a injeção de scripts maliciosos.

Ouvimos há uns dias que decorria um ataque massivo a instituições financeiras dos EUA, todos eles com origem nos servidores de alojamento de um conhecido operador. Este fez uma análise detalhada aos padrões de ataque e verificou que tinham todos origem em gestores de conteúdos (a maioria wordpress). Investigações posteriores revelaram que as contas de administrador eram comprometidas e que era feito o envio de software malicioso para as diretorias dos sites.

Ontem, o ataque começou a desencadear-se a um nível global, sendo as instalações de wordpress de todos os fornecedores de alojamento internet o alvo. Uma vez que o ataque é altamente distribuído (a maior parte dos IP’s usados são falsos), é muito dificil para nós bloquear os dados maliciosos.

Para assegurar que os seus sites estão seguros e salvaguardados deste ataque, recomendamos que proceda da seguinte forma:

  1. Atualize e/ou faça upgrade da sua instalação wordpress e de todos os plugins.
  2. Instale o plugin de segurança Better WP Security
  3. Assegure-se de que a sua password de administrador é segura e de preferência gerada aleatóriamente
  4. Outras formas de segurar uma instalação wordpress estão partilhadas em http://codex.wordpress.org/Hardening_WordPress

Podem ser adicionadas medidas de segurança suplementares, nomeadamente:

  • Remover os ficheiros README e de licença (importante) pois eles expõem a informação da versão wordpress em execução
  • Mover o wp-config.php para uma pasta de topo e alterar as suas permissões para 400
  • Prevenir a leitura do ficheiro htaccess
  • Restringir o acesso a wp-admin apenas a IP’s específicos
  • Mais alguns plugins de segurança – wp-security-scan, wordpress-firewall, ms-user-management, wp-maintenance-mode, ultimate-security-scanner, wordfence, http://wordpress.org/extend/plugins/better-wp-security.

Recomendamos igualmente o uso de Cloudflare, que está disponível para instalação em todos os nossos servidores linux, no separador “Aplicativos”, por forma a prevenir ataques que afetem a funcionalidade do seu site.

Todos os sites criados pela Chrome estão devidamente seguros para a eventualidade de um ataque, mas os restantes sites apenas alojados, que não foram criados por nós, deverão proceder á implementação de medidas de segurança que evitem o pior.

One Comments

Leave a Reply