Blogueiros não cuidam da segurança de seus blogs

Sim!!! Eu já tive um site hackeado!! Era sábado de manhã quando acessei o site do centro acadêmico da biologia e a página inicial havia sido alterada!

Depois de alguns minutos de pesquisas, havia descoberto a besteira!!! Eu usava uma versão desatualizada do PHPBB (um fórum de discussão muito utilizado na net) e por ai o hacker conseguiu a senha do meu banco de dados! Só com isso ele já poderia ter zoado muita coisa.

Só que fiz uma besteira maior ainda: A senha do banco de dados era a mesma do FTP, ou seja, o cara poderia ter simplesmente APAGADO TUDO!!! Como ele nem foi tão malvado, foi só restaurar a página inicial e dai na segunda apagar tudo e restaurar o backup da página (afinal ele poderia ter deixado alguma página com alguma programação “trojan”).

Desde este dia tenho ficado muito mais atento com esses programas prontos que tem na net, como o phpmyadmin e o WORDPRESS!!!

Ontem o WordPress.org fez algo totalmente não recomendável para um produtor de software: lançou uma atualização em um SÁBADO. Nem todo mundo acessa internet nos finais de semana.

Ai me ocorreu uma dúvida: Será que os blogueiros são cuidadosos com seus blogs?

O RESULTADO É ASSUSTADOR!!! Peguei a lista do Interney dos 100 principais blogs brasileiros segundo o Technorati e analisei os códigos fontes de todos os blogs (exceto aqueles com dominios gratuitos ou de grandes portais).

Primeiro vamos ver qual a “plataforma” que o pessoal utiliza:

“plataforma” que o pessoal utiliza

Os “indefinidos” são aqueles que eu não consegui identificar. Provavelmente a maioria utiliza WordPress, pois quem mais utiliza “charset=UTF-8”? Mas não levei em conta pois não tinha certeza.

Agora, dos 38 que utilizam a plataforma WordPress, temos:

Plataformas WordPress

Dos 38 blogs com WordPress, somente UM estava com a última versão!! Parabéns para o adminsitrador do Google Discovery!12 estavam com a versão 2.2.2 (a “última até ontem”) e os 25 restantes estavam desatualizados!

Irônico que um dos blogs anunciavam o lançamento da versão 2.2.3 (ou seja, postaram ontem) mas utilizavam uma versão 2.1 .

Versão 2.1?

Menos mal que a versão 2.2.x domina esta lista. Mas o impressionante é que VÁRIOS BLOGS de tecnologia ou que falam sobre blogs tem versão desatualizada (2.2.1 para baixo)!!!!

Será que pelo menos os blogueiros fazem backup de seus blogs?

Dicas:

1- Se quiser ver a lista dos bugs do wordpress, entre no WordPress Trac

2- Caso prefira esconder a sujeira em baixo do tapete ao invés de arrumar, você pode esconder a versão do seu wordpress seguindo esta dica do HebertPHP – Duas dicas de segurança para o wordpress. Mas isso não ajuda muito.

3- Os sites não foram divulgados aqui por motivos de segurança (tudo bem que é só entrar na lista e ver página por página, mas ai não é problema meu)

4- As análises foram iniciadas as 23:35 e terminaram as 23:55 de 08/09. Provavelmente os que estão na versão 2.2.2 vão estar na versão 2.2.3 em breve. Quer apostar quanto que os outros não vão atualizar?
5- A maioria dos provedores possuem instalação automática do wordpress. Verifique se existe alguma “atualização” automática, ou instale algum plugin “atualizador” (eu sempre faço na mão, então não sei de plugins… se alguém puder indicar, ganha um link)

6- Antes de fazer o update, faça um backup do banco de dados e das páginas… eu fiz uma besteira no meu update e fui salvo graças a um backup!!!

7- Para atualizar seu blog manualmente, desabilite todos os plugins, descompacte o arquivo zipado e suba todos os arquivos por cima dos antigos. Depois é só habilitar os plugins normalmente.

27 thoughts on “Blogueiros não cuidam da segurança de seus blogs

  • 09/09/2007 at 4:20 am
    Permalink

    Poxa, o b2evolution nem aparece na lista?

    Pelo menos deve ficar que nem o linux, ninguém se preocupa em procurar brecha 😀

  • 09/09/2007 at 8:44 am
    Permalink

    re re r e
    Pessoalmente eu acho que essa coisa de “sistema operaciona seguro” exagerado. Não existe sitema operacional seguro, e sim um analista mais preocupado.

    Quando invadiram meu servidor, era um freeBSD, mas poderia ser tanto um windows quanto um linux. Fiz besteira e invadiram…

    (o problema é que no windows o analista tem muito mais trabalho… 🙂 )

  • 09/09/2007 at 12:20 pm
    Permalink

    Eu utilizo o Instant Upgrade que o Carlos Fran indicou acima. E nunca me deixa na mão. O backup é o que demora mais. Cerca de 40 min para copiar todos os arquivos e fazer o backup do BD mysql.
    O Upgrade demora menos de 5 segundos!

    abraço

  • 09/09/2007 at 2:46 pm
    Permalink

    Rapaz, não pode vacilar, qualquer falha os cara aproveitam!

  • 10/09/2007 at 1:41 am
    Permalink

    Fala Jonny!

    Acabo de atualizar! Eu vi que tinha atualização do WP no sábado, estranhei o dia… Mas em geral gosto de fazer as atualizações de madrugada e como madrugada de sábado pra domingo geralmente não estou no PC… hehehe! Deixei pra hoje, de domingo pra segunda!

    Pra todos os efeitos, na verdade pra mostrar que estou com a última versão nem precisaria atualizar… é só mudar o arquivo /wp-includes/version.php e todo mundo vai achar questá atualizado…

    Dica: existe um plugin novo chamado WPAU (WP Automatic Upgrade) que é fantástico e atualiza “tumaticamenti” o WP! Fiz um teste não no blog principal e sim em uma instalação teste. Funciona que é uma beleza!

    http://techie-buzz.com/wordpress-plugins/wordpress-automatic-upgrade-plugin.html

    Abraços!

    Abraços!

  • 10/09/2007 at 2:04 am
    Permalink

    Fala Alê!

    Como eu disse, quem estava com o 2.2.2 vai para o 2.2.3…

    O problema é que tem gente ainda utilizando o 2.0!!! Esses sim que não estão muito preocupados com atualização.

  • 10/09/2007 at 8:24 am
    Permalink

    Tem que levar em consideração que acabou de passar um feriadão. Poucos são aqueles que dedicam seu preciso tempo livre para o blog.

  • 10/09/2007 at 12:24 pm
    Permalink

    sim…

    Mas o problema não é a versão 2.2.2 e sim as versões BEEEEEEEEEEEM mais antigas…

  • 10/09/2007 at 3:07 pm
    Permalink

    Essa questão do WordPress é muito complicada. Talvez se os desenvolvedores se preocupassem em lançar versões estabilizadas, sem ficar lançando versões 2.x.x.x.etc seria bem mais seguro.

    Algo que permite muito a invasão em blogs do wordpress são os temas, por incrível que pareça. Pra verificar isso existe um scanner muito prático de se utilizar, recomendo:

    http://blogsecurity.net/wordpress/tools/wp-scanner/

    Sobre as atualizações eu sou muito seleta com isso. Apesar do meu host oferecer a atualização automatica eu sempre faço o upgrade manual. Assim que vejo a notícia de novas versões já atualizo. E sempre que posso atualizo a versão Alpha de teste que são disponibilizadas na lista de discussão do wp-testers. Assim é mais fácil ficar por dentro dos bugs. Muita gente sabe que são corrigidos diversos bugs, mas nunca se sabe quais são estes bugs.

    Abraços Jonny, e obrigada pela visita!

  • 10/09/2007 at 6:30 pm
    Permalink

    A razão para isso é que a maioria não se dá muito bem com atualizações.

    Muitos já enfrentaram problemas, uns por falta de informação, e outros por serem burros mesmo heheheh.

    Quem não é muito familiarizado prefere esperar grandes mudanças ou grandes problemas de segurança.

    Obviamente grandes blogs (quero dizer com muitas visitas, ou polêmicos) DEVEM estar sempre atualizados.

    Outro problema é quem utiliza MUITOS plugins. Pode acontecer de alguns plugins não funcionarem com novas versões do WP.

    Enfim, cada caso é um caso. Mas no final das contas, o melhor é atualizar o WP, nem que seja perdendo 1 horinha a mais de sono. É mais seguro 😛

    []s

  • 10/09/2007 at 9:49 pm
    Permalink

    Atualização do wordpress é algo importantíssimo, mas a dica-chave desse texto é backup, sempre! Faço ao menos um por semana, e guardo em locais diferentes.

  • 11/09/2007 at 2:17 am
    Permalink

    Atualizei dois dos meus blogs, os que usam WP, ontem. Só não atualizei antes porque eu preciso de “ajuda”, pois quando tento atualizar usando a minha conexão e FTP dana tudo. Quem me “ajuda” abre e instala direto no servidor sem passar por programinhas. O backup é automático e eu recebo por email, graças a um plugin que faz isso.

    É muito simples saber que foi atualizado: só abrir o WP! Ele avisa na página principal, não ? Então se eu vou postar eu vejo, mas geralmente o aviso vem de vários blogs, incluindo do WP.

    Acho que as pessoas não atualizam porque acham que não é preciso, preguiça e falta de habilidade / conhecimento para fazê-lo. Às vezes até querem, mas não podem ou não sabem fazê-lo.

  • 11/09/2007 at 6:07 am
    Permalink

    Eu não costumo atualizar, assim que sai uma nova versão, aguardo um pouco, quase sempre.

    Possuo 3 backups para cada um dos blogs, um no e-mail (base de dados), um no servidor e outro remoto.

    Problemas podem ocorrer, mesmo com a versão mais nova do WP, portanto, o bakup é fundamental.

    Abraço

  • 11/09/2007 at 1:43 pm
    Permalink

    Tá bom… tá bom… depois desse puxão de orelha vou atualizar meu blog, mesmo não estando nem no top 1000 da blogosfera brasileira.

    Também faço backup por e-mail, mas o que a Lu disse eu não tinha pensado, tenho de fazer backup em mais de um lugar!

    Jonny, agora faz um review do “Fully automatic upgrades of your WordPress” e do “WP Automatic Upgrade” pra indicar qual o melhor 🙂

    Aproveitando o comentário, quero te indicar o “Personal Software Inspector (PSI) – Secunia”, que diz se seus programas estão atualizados:
    https://psi.secunia.com/

    Usei e subi de 60% para 98% a “atualização” do meu micro.

  • 11/09/2007 at 8:01 pm
    Permalink

    Ainda bem que faço parte da lista do 2.2.3. Sempre fui muito religioso para com updates e tal, para nao ter maiores problemas depois.

    Pelo menos a maioria (de acordo com seu gráfico) usa 2.2.2, o que já é um avanço

  • 11/09/2007 at 8:37 pm
    Permalink

    Como dizem…

    Jesus Cristo salva, mas Norton faz Backups

  • 11/09/2007 at 9:09 pm
    Permalink

    Henrique…
    Quem sabe na atualização do 2.2.3 para o 2.3?

    Mas acho que é algo tão simples que não tem segredo. Até pela Bash é extremamente simples…

  • 11/09/2007 at 9:11 pm
    Permalink

    Acabei de pensar em uma coisa:

    Será que a Dreamhost faz backup de dados?

  • Pingback: Test | ...zezologs.org

  • 14/09/2007 at 11:44 am
    Permalink

    Demorei três dias para passar do 2.2.2 para o 2.2.3 e me dei mal. Começaram a, de algum modo, a utilizar meu limite de transferência e tudo saiu do ar… quando voltou, atualizei e parou. Agora, saiu atualização eu faço a coisa acontecer…

  • 17/09/2007 at 10:26 am
    Permalink

    E mais uma vez temos um trabalho duro do Jonny em prol da blogosfera… parabéns…

    E como faz o backip do bd, só salver uma cópia em algum outro local ou há algum procedimento mais detalhado?

  • 17/09/2007 at 11:03 am
    Permalink

    Ostrock

    Como eu tenho várias coisas no banco de dados além dos 3 blogs (meu, da Dani e o Infolog), eu vou no phpmyadmin e exporto todo o banco. Se der algum piripaque, basta importar o que for importante 🙂

    Se fosse em um windows com mysql, bastaria copiar a base de Dados. Como está em um linux, eu só sei exportar via phpmyadmin.

    Abraços

  • 23/05/2009 at 5:17 pm
    Permalink

    Olá. Depois de uma invasão “code injection” (um vírus adicionou código malioso em meus arquivos .PHP, reverti salvando minha cópia offline, felizmente atualizada, pra cima da online), o assunto segurança ganhou importância) e este artigo chamou minha atenção.
    Qual a melhor forma de regular as permissões de arquivo (CHMOD) para quem trabalha com WordPress?
    Se deixo liberado (777) corro riscos. Se bloqueio(no writable) é o WP-Admin que não consegue trabalhar direito (upload de imagens via web, atualização de sitemaps, plugins que precisam gravar arquivos-texto etc.). Tem um meio termo? Digo, deixar o WordPress (WP-Admin acessado via Web, plugins etc.) gravar o que tem que gravar e ao mesmo tempo ter segurança?

  • 19/06/2009 at 1:45 am
    Permalink

    Eu acho que a versão mais segura é quando a própria hospedagem instala automaticamente para você… Normalmente eles já instalam com as prioridades corretas.

    Você também pode ligar para o suporte e perguntar sobre isso. Acho que com o grande número de usuários de WP, eles já devem saber como instalar tudo de maneira segura!

Leave a Reply

Your email address will not be published. Required fields are marked *