UMARIZAL 1 Denunciar post Postado Novembro 1, 2010 Olá amigos! Há 5 anos como webmaster de vários sites, pela primeira vez, invadiram meu site. O site em questão, usa o script Wordpress.org. Alguém pode me dar dicas de segurança para este script e, se possível, sugerir quais os melhores plugins para segurança? Atualmente estou usando 2 plugins... mas não sei se são o suficiente. Troquei as senhas do admin e do cpanel/ftp. O que mais me sugerem fazer? Compartilhar este post Link para o post Compartilhar em outros sites
Anderson Narciso 3 Denunciar post Postado Novembro 1, 2010 Olá. Script Wordpress.org? Wordpress.org é o site oficial do CMS Wordpress, não é um script. 10 Dicas de segurança no Wordpress http://forum.imasters.com.br/public/style_emoticons/default/seta.gif http://www.andersonnarciso.com/10-dicas-de-seguranca-para-o-wordpress/ As dicas pode ser que ajude. Compartilhar este post Link para o post Compartilhar em outros sites
Silviomc 1 Denunciar post Postado Novembro 1, 2010 Você ja pensou na idéia de que o ataque pode ter sido através do seu servidor e não falha do Wordpress? ou ainda Podem ter roubado a sua senha de ftp também, há várias possibilidades desses ataques. Infome-se primeiro de que forma seu site foi invadido, depois providencie as seguranças necessarias, pois não adianta enxer de plugins de segurança se a causa for outra. Compartilhar este post Link para o post Compartilhar em outros sites
UMARIZAL 1 Denunciar post Postado Novembro 1, 2010 Olá. Script Wordpress.org? Wordpress.org é o site oficial do CMS Wordpress, não é um script. 10 Dicas de segurança no Wordpress http://forum.imasters.com.br/public/style_emoticons/default/seta.gif http://www.andersonnarciso.com/10-dicas-de-seguranca-para-o-wordpress/ As dicas pode ser que ajude. Haha... você entendeu o que eu quis dizer. Wordpress.com é o serviço de blogs gratuitos e Wordpress.org é o site do script para blogs (que aos poucos está virando CMS, mas não foi criado com este propósito). Você ja pensou na idéia de que o ataque pode ter sido através do seu servidor e não falha do Wordpress? ou ainda Podem ter roubado a sua senha de ftp também, há várias possibilidades desses ataques. Infome-se primeiro de que forma seu site foi invadido, depois providencie as seguranças necessarias, pois não adianta enxer de plugins de segurança se a causa for outra. Então, não consigo entender como pode ter ocorrido. Entendo bem de hardware e softwares e nunca um site meu havia sido invadido. Achei muito estranho e como de vários sites que hospedo (tenho plano de revenda de hospedagem) o único atacado foi o que usava wordpress, imaginei que pudesse ser alguma falha de segurança. Será que se mudasse o local de login /wp-admin/ para outro nome melhoraria? E o login, ADMIN para outro, também não seria interessante? Compartilhar este post Link para o post Compartilhar em outros sites
Anderson Narciso 3 Denunciar post Postado Novembro 2, 2010 Na real estás bem por fora, a Plataforma CMS (não script) Wordpress foi considerado o melhor CMS do ano de 2009, e faz muito tempo que o propósito foi revertido, então não é "aos poucos", ele já é um CMS, afinal o site do Ministério da Cultura, por exemplo, não é um blog, e sim um baita portal desenvolvido sobre o Wordpress WordPress: Melhor CMS Open Source de 2009! http://www.tudoparawordpress.com.br/noticias/wordpress-melhor-cms-opensource-2009/ http://www.pr-inside.com/open-source-cms-market-share-r1531417.htm Alterar pasta não resolveria, pois existe várias maneiras de saber que é usado o CMS por baixo do layout.. (utilizo revenda a 2 anos e Wordpress à 3 e nunca fui atacado). Segurança varia do conhecimento do programador do site, da empresa de hospedagem (revenda ou não), do sistema, e do entendimento do invasor, pois qualquer site, sistema pode ser de certa forma vulnerável. http://www.google.com.br/#hl=pt-BR&biw=1920&bih=888&q=dicas+de+seguran%C3%A7a+no+wordpress&aq=f&aqi=g10&aql=&oq=&gs_rfai=&fp=fa280848a186bbe0 Compartilhar este post Link para o post Compartilhar em outros sites
UMARIZAL 1 Denunciar post Postado Novembro 2, 2010 Na real estás bem por fora, a Plataforma CMS (não script) Wordpress foi considerado o melhor CMS do ano de 2009, e faz muito tempo que o propósito foi revertido, então não é "aos poucos", ele já é um CMS, afinal o site do Ministério da Cultura, por exemplo, não é um blog, e sim um baita portal desenvolvido sobre o Wordpress WordPress: Melhor CMS Open Source de 2009! http://www.tudoparawordpress.com.br/noticias/wordpress-melhor-cms-opensource-2009/ http://www.pr-inside.com/open-source-cms-market-share-r1531417.htm Alterar pasta não resolveria, pois existe várias maneiras de saber que é usado o CMS por baixo do layout.. (utilizo revenda a 2 anos e Wordpress à 3 e nunca fui atacado). Segurança varia do conhecimento do programador do site, da empresa de hospedagem (revenda ou não), do sistema, e do entendimento do invasor, pois qualquer site, sistema pode ser de certa forma vulnerável. http://www.google.com.br/#hl=pt-BR&biw=1920&bih=888&q=dicas+de+seguran%C3%A7a+no+wordpress&aq=f&aqi=g10&aql=&oq=&gs_rfai=&fp=fa280848a186bbe0 Nossa, como moderador você deveria ser mais cordial e se desviar menos do assunto proposto. Considerei sua resposta muito ríspida. Sou moderador em outro fórum de informática (GdH) e nossa atitude, da staff em geral com os usuários é bem diferente... mas vamos ao assunto em questão pois a dúvida não é se o Wordpress é ou não um CMS (afinal, ele foi criado sim para gerir Blogs e ao longo do tempo se tornou um CMS, ponto e basta). Bem, mudei o login do usuário admin e dificultei ao máximo a senha (letras, maiúsculas, minúsculas, números, alternância, etc). Instalei plugins para impedir tentativas consecutivas de login após erro de usuário ou senha e mudei os arquivos .htaccess para impedir acesso à várias pastas. Aos demais membros, se puderem sugerir mais opções para dificultar os ataques, fico grato. Abraço a todos! Compartilhar este post Link para o post Compartilhar em outros sites
Silviomc 1 Denunciar post Postado Novembro 2, 2010 Acho que com essas alterações você conseguirá aumentar a segurança do seu site, quanto a renomeação da pasta wp-admin seria somente para melhorar a vida dos clientes para guardar melhor o nome da sua área administrativa, mas nunca temtei fazer isso. Agora tira uma dúvida aqui, seu tema foi você quem desenvolveu ou você baixou da internet? é porque pode ter códigos maliciosos nele. Compartilhar este post Link para o post Compartilhar em outros sites
Anderson Narciso 3 Denunciar post Postado Novembro 2, 2010 Na real estás bem por fora, a Plataforma CMS (não script) Wordpress foi considerado o melhor CMS do ano de 2009, e faz muito tempo que o propósito foi revertido, então não é "aos poucos", ele já é um CMS, afinal o site do Ministério da Cultura, por exemplo, não é um blog, e sim um baita portal desenvolvido sobre o Wordpress WordPress: Melhor CMS Open Source de 2009! http://www.tudoparawordpress.com.br/noticias/wordpress-melhor-cms-opensource-2009/ http://www.pr-inside.com/open-source-cms-market-share-r1531417.htm Alterar pasta não resolveria, pois existe várias maneiras de saber que é usado o CMS por baixo do layout.. (utilizo revenda a 2 anos e Wordpress à 3 e nunca fui atacado). Segurança varia do conhecimento do programador do site, da empresa de hospedagem (revenda ou não), do sistema, e do entendimento do invasor, pois qualquer site, sistema pode ser de certa forma vulnerável. http://www.google.com.br/#hl=pt-BR&biw=1920&bih=888&q=dicas+de+seguran%C3%A7a+no+wordpress&aq=f&aqi=g10&aql=&oq=&gs_rfai=&fp=fa280848a186bbe0 Nossa, como moderador você deveria ser mais cordial e se desviar menos do assunto proposto. Considerei sua resposta muito ríspida. Sou moderador em outro fórum de informática (GdH) e nossa atitude, da staff em geral com os usuários é bem diferente... mas vamos ao assunto em questão pois a dúvida não é se o Wordpress é ou não um CMS (afinal, ele foi criado sim para gerir Blogs e ao longo do tempo se tornou um CMS, ponto e basta). Bem, mudei o login do usuário admin e dificultei ao máximo a senha (letras, maiúsculas, minúsculas, números, alternância, etc). Instalei plugins para impedir tentativas consecutivas de login após erro de usuário ou senha e mudei os arquivos .htaccess para impedir acesso à várias pastas. Aos demais membros, se puderem sugerir mais opções para dificultar os ataques, fico grato. Abraço a todos! Bom, acho que não estamos aqui para saber quem é moderador ou se é moderador de algum fórum ou não, você como moderador de um fórum de informática deveria saber que além de tentar ajudar um usuário, é certo um moderador informar termos e assuntos de forma clara, para usuários desinformados que citam informações incorretas como "Wordpress.org é o site do script para blogs (que aos poucos está virando CMS, mas não foi criado com este propósito)." que podem informar ou influenciar outros usuários de forma errada. Agora em relação ao tema do post, em todas as réplicas foi informado algo relacionado a ele, então, não é desvio de assunto. E como estavamos falando, qualquer site, servidor corre riscos de invasão, não são "à prova de balas" mas a segurança em um site é o programador dele quem vai elaborar, utilizando um CMS ou não, sendo que para utilizar um CMS, tem que pelomenos conhecer bem a plataforma e suas ferramentas, para evitar vulnerabilidades no site depois de pronto. E para colocar a pedra na confusão, acho que os links postados, as alterações feitas, e as dicas já podem evitar uma futura invasão no site. Lembrando que o espaço é aberto para novas dicas ou informações. Plugin Login LockDown http://forum.imasters.com.br/public/style_emoticons/default/seta.gif http://wordpress.org/extend/plugins/login-lockdown/ + 10 dicas para acelerar, estilizar e proteger seu template Wordpress http://imasters.com.br/artigo/18700/wordpress/10_dicas_para_acelerar_estilizar_e_proteger_seu_template_wordpress/ Compartilhar este post Link para o post Compartilhar em outros sites
UMARIZAL 1 Denunciar post Postado Novembro 3, 2010 Plugin Login LockDown http://forum.imasters.com.br/public/style_emoticons/default/seta.gif http://wordpress.org...login-lockdown/ + 10 dicas para acelerar, estilizar e proteger seu template Wordpress http://imasters.com....late_wordpress/ Este plugin LockDown é compatível e estável com a última versão do WP (3.0.1)? Pergunto porque na página do plugin está dizendo "Compatible up to: 2.8.4". Todavia, instalei outro plugin que também restringe inúmeras tentativas de plugin bloqueando por IP entre outros. ---- Silviomc, contatei o dono do servidor e até agora não acharam nada nos logs... tem alguma dica de como posso verificar por onde se deu a invasão? Compartilhar este post Link para o post Compartilhar em outros sites
Anderson Narciso 3 Denunciar post Postado Novembro 4, 2010 Utilizo ele desde a primeira versão em um dois dos mes sites, até hoje funcionou corretamente com todas as versões do wp, não tenho como afirmar se vai te ajudar ou funcionar, espero que sim. Compartilhar este post Link para o post Compartilhar em outros sites
UMARIZAL 1 Denunciar post Postado Novembro 4, 2010 Utilizo ele desde a primeira versão em um dois dos mes sites, até hoje funcionou corretamente com todas as versões do wp, não tenho como afirmar se vai te ajudar ou funcionar, espero que sim. Instalei aqui para testar... vamos ver como se comporta por algum tempo, obrigado. Eu havia instalado, após abrir este tópico, o Limit Login Attempts + Secure WP e achei as funções bem interessantes. http://forum.imasters.com.br/public/style_emoticons/default/joia.gif Sobre o Limit Login Attempts, o endereço é este: http://wordpress.org/extend/plugins/limit-login-attempts/ Abraço Compartilhar este post Link para o post Compartilhar em outros sites
