Sim!!! Eu já tive um site hackeado!! Era sábado de manhã quando acessei o site do centro acadêmico da biologia e a página inicial havia sido alterada!

Depois de alguns minutos de pesquisas, havia descoberto a besteira!!! Eu usava uma versão desatualizada do PHPBB (um fórum de discussão muito utilizado na net) e por ai o hacker conseguiu a senha do meu banco de dados! Só com isso ele já poderia ter zoado muita coisa.

Só que fiz uma besteira maior ainda: A senha do banco de dados era a mesma do FTP, ou seja, o cara poderia ter simplesmente APAGADO TUDO!!! Como ele nem foi tão malvado, foi só restaurar a página inicial e dai na segunda apagar tudo e restaurar o backup da página (afinal ele poderia ter deixado alguma página com alguma programação “trojan”).

Desde este dia tenho ficado muito mais atento com esses programas prontos que tem na net, como o phpmyadmin e o WORDPRESS!!!

Ontem o WordPress.org fez algo totalmente não recomendável para um produtor de software: lançou uma atualização em um SÁBADO. Nem todo mundo acessa internet nos finais de semana.

Ai me ocorreu uma dúvida: Será que os blogueiros são cuidadosos com seus blogs?

O RESULTADO É ASSUSTADOR!!! Peguei a lista do Interney dos 100 principais blogs brasileiros segundo o Technorati e analisei os códigos fontes de todos os blogs (exceto aqueles com dominios gratuitos ou de grandes portais).

Primeiro vamos ver qual a “plataforma” que o pessoal utiliza:

“plataforma” que o pessoal utiliza

Os “indefinidos” são aqueles que eu não consegui identificar. Provavelmente a maioria utiliza WordPress, pois quem mais utiliza “charset=UTF-8”? Mas não levei em conta pois não tinha certeza.

Agora, dos 38 que utilizam a plataforma WordPress, temos:

Plataformas WordPress

Dos 38 blogs com WordPress, somente UM estava com a última versão!! Parabéns para o adminsitrador do Google Discovery!12 estavam com a versão 2.2.2 (a “última até ontem”) e os 25 restantes estavam desatualizados!

Irônico que um dos blogs anunciavam o lançamento da versão 2.2.3 (ou seja, postaram ontem) mas utilizavam uma versão 2.1 .

Versão 2.1?

Menos mal que a versão 2.2.x domina esta lista. Mas o impressionante é que VÁRIOS BLOGS de tecnologia ou que falam sobre blogs tem versão desatualizada (2.2.1 para baixo)!!!!

Será que pelo menos os blogueiros fazem backup de seus blogs?

Dicas:

1- Se quiser ver a lista dos bugs do wordpress, entre no WordPress Trac

2- Caso prefira esconder a sujeira em baixo do tapete ao invés de arrumar, você pode esconder a versão do seu wordpress seguindo esta dica do HebertPHP – Duas dicas de segurança para o wordpress. Mas isso não ajuda muito.

3- Os sites não foram divulgados aqui por motivos de segurança (tudo bem que é só entrar na lista e ver página por página, mas ai não é problema meu)

4- As análises foram iniciadas as 23:35 e terminaram as 23:55 de 08/09. Provavelmente os que estão na versão 2.2.2 vão estar na versão 2.2.3 em breve. Quer apostar quanto que os outros não vão atualizar?
5- A maioria dos provedores possuem instalação automática do wordpress. Verifique se existe alguma “atualização” automática, ou instale algum plugin “atualizador” (eu sempre faço na mão, então não sei de plugins… se alguém puder indicar, ganha um link)

6- Antes de fazer o update, faça um backup do banco de dados e das páginas… eu fiz uma besteira no meu update e fui salvo graças a um backup!!!

7- Para atualizar seu blog manualmente, desabilite todos os plugins, descompacte o arquivo zipado e suba todos os arquivos por cima dos antigos. Depois é só habilitar os plugins normalmente.