Onda de Ataques Contra o Wordpress – Proteja Seu Blog

Isto não é uma volta oficial à ativa, mas o assunto é importante demais para deixar passar em branco.

Blogs que usam Wordpress (seja com instalação própria ou no Wordpress.com) estão sofrendo ataques de força bruta de forma massiva. O blog da Porto Fácil explica:

O que está prestes a acontecer (na verdade, dizem que já está acontecendo) é que uma botnet com 90.000 (isso mesmo, noventa mil) máquinas está programada para fazer ataques de força bruta contra blogs WordPress. As máquinas da botnet tentam invadir o WP utilizando o usuário admin, a partir do que podem inserir códigos maldosos nas contas de hospedagem, vindo a criar uma rede não de PCs zumbis, mas de servidores zumbis, o que é muito mais preocupante porque servidores costumam ter poderosas conexões de rede, e não raro hardware de sobra para as necessidades dos sites rodando neles.

Leia o post inteiro para saber mais e descobrir como você pode (deve, na verdade) proteger seu blog: Previsão de dias difíceis para blogs WordPress.

O que você deve fazer já mesmo

Se você tem um usuário “admin” no blog, elimine-o assim que puder. Essa é a porta de entrada mais comúm.

Otros nomes de usuário que são facilmente “crackeados” incluem “administrator”, “administrador” e “test” ou “teste”. Delete esse tipo de usuário (mudar o nome que é mostrado no blog para ele não resolve nada) – sem esquecer de transferir os posts criados com ele para outro usuário, caso haja algum.

A segunda coisa é utilizar uma senha forte. Saiba mais no post Aumentando a segurança do seu WordPress.

Dicas básicas:

• A senha deve ter no mínimo 8 caracteres;
• Não deve ser nenhuma palavra encontrada no dicionário (em nenhum idioma);
• Deve incluir letras minúsculas, maiúsculas e números. Se você incluir outros símbolos (como #, $, !, etc) melhor ainda.
• Não sabe como criar uma senha segura? Use o Gerador de Senhas da Via Hospedagem.

Outra recomendação é usar o plugin Better WordPress Security. A Via Hospedagem ensina o caminho das pedras: Segurança WordPress: protegendo a casa com o Better WP Security. Só tenha cuidado com as opções que você não sabe o que são ou que efeito têm; na dúvida, não mexa.

Recomendo ter especial cuidado com as opções para renomear o prefixo das tabelas do Wordpress e a pasta wp-content – o potencial merdístico dessas alterações é altíssimo.

Outra coisa importante: mantenha seu Wordpress, temas e plugins atualizados. Delete temas e plugins que não usa. E use somente plugins e temas de fontes confiáveis!

Mais informação

Mais textos sobre o assunto, além dos já citados:

• Previsão de dias difíceis para blogs WordPress
• Atenção com as senhas fracas no WordPress!
• Aumentando a segurança do seu WordPress
• Segurança WordPress: protegendo a casa com o Better WP Security
• Passwords and Brute Force
• Hackers Point Large Botnet At WordPress Sites To Steal Admin Passwords And Gain Server Access
• Hackers Using Brute-Force Attacks to Harvest WordPress Sites

Mexa-se!

Isto não é brincadeira. Não pense “ah, comigo não vai acontecer” ou “depois eu vejo isso”! Como eu sempre digo, é melhor prevenir que lamentar. O ataque atual tem proporções massivas e pode afetar qualquer blog que use Wordpress, sem importar o tamanho, visitação, hospedagem ou o que for.

E caso você não saiba, “limpar” um blog de uma invasão é um processo complicado e que pode ser doloroso. Tome as providências necessárias assim que puder – de preferência hoje mesmo. Depois não adianta chorar sobre o blog invadido. 😉

Image: Mike L.Baird – CC By.

Originalmente publicado em 2013/04/17.