Especialistas de segurança cibernética identificaram uma nova brecha de segurança na versão 4.9.6. do WordPress e também nas versões anteriores.
A falha de segurança se encontra no gerenciamento de mídia, e permite que invasores acessem o sistema e possam pagar arquivos de suma importância para um blog na plataforma.
Entre estes arquivos está o wp-config.php, cujo qual um permite aos hackers reinstalarem o programa do WordPress novamente num computador.
Devido a essa falha de segurança,criminosos virtuais podem aproveitar para apagar arquivos e criar uma conta de administradores de qualquer site dentro do CMS.
O que chama ainda mais atenção é que essa falha não afeta a versão 4.9.6., uma das versões mais recente da plataforma, mas também todas as anteriores.
Os profissionais do WordPress já trabalham para distribuírem um pack de manutenção que possa corrigir o sistema e eliminar a brecha para os usuários que utilizam a versão 4.9.7. da plataforma.
Como hackers podem aproveitar essa falha de segurança?
Os hackers que identificam e atuam em cima dessa brecha, tendem a excluir o arquivo wp-config.php para que o sistema seja “reinstalado”.
Com isso, eles conseguem criar um novo usuário no servidor de nível administrador e passam a ter direito a fazerem praticamente tudo dentro da aplicação web.
Para que os hackers conseguem se aproveitar plenamente da brecha, eles precisam que esse novo usuário tenha conseguido o nível de administrador para ter como manipular todos os arquivos do sistema.
Por isso, para eles é tão importante reiniciarem o servidor.
A falha é tão grave que o novo usuário criado pelos hackers pode apagar qualquer arquivo do serviço do WordPress, podendo ainda aplicar a exclusão arbitrária para “passar por cima” das medidas de segurança da plataforma.
Além do arquivo wp-config.php, que permite aos hackers reexecutar a instalação, os arquivos index.php, pode ser afetado o que expõe todos os diretórios e arquivos da aplicação web, e o .htacess, que ao ser excluído proporciona aos criminosos a oportunidade de enganar o sistema de segurança do WordPress.
Teste 30 dias de Hospedagem de Site.
Como eliminar essa brecha de segurança no WordPress?
O primeiro passo, obviamente, é atualizar o WordPress para a versão mais recente possível.
As novas atualizações do CMS trazem packs que conseguem corrigir os bugs de versões anteriores, assim acabando com as brechas do sistema.
E como há uma recomendação dos especialistas, manter o WordPress sempre na versão mais recente é o ideal para que seu site esteja mais protegido.
Quanto mais recente for sua versão do CMS, menos falhas de segurança ela tende a ter.
Para quem deseja continuar com a versão 4.9.6 ou anterior do WordPress é preciso fechar a brecha de segurança através de códigos.
E para isso é preciso que você conte com um profissional de programação para que ele conseguir inserir um código dentro do arquivo functions.php e assim eliminar essa brecha de segurança.
É claro que se você atualizou a sua aplicação para uma versão mais recente do WordPress, o que é mais simples e pode ser feito por qualquer um, você não precisará realizar o processo descrito acima, a falha já está corrigida após a atualização.
Confira abaixo mais dicas para manter a sua aplicação WordPress em segurança:
Renomeie a sua URL de login
Por padrão do WordPress, toda página de login da plataforma tem as seguintes terminações: wp-admin ou login.php.
E uma das coisas simples que é possível fazer para aumentar a segurança do sistema é justamente renomear a URL dessa página.
Essa é uma ação relativamente fácil e que pode eliminar uma das oportunidades mais propícias para a atuação de hackers.
Quando um hacker conhece a URL da sua página de lógico, ele passa a usar vários tipos de programas para tentar dentre várias combinações, acertar o nome de usuário e senha e muitas vezes eles conseguem.
Por isso, se você sair do obvio e mudar a URL da sua página de login, você terá reduzido consideravelmente a chance de os criminosos virtuais conseguirem invadir o servidor do seu site através deste método.
Dessa maneira, é possível usar o plugin iThemes Security é possível alterar a URL de login e evitar que pessoas más intencionadas tenham uma facilidade maior em aproveitar as brechas de segurança do WordPress.
Confira também: Hospedagem de Site grátis – Bom negócio ou cilada?
Resguarde o diretório wp-admin
Como bem sabemos, o diretório wp-admin é essencial para qualquer site desenvolvido no WordPress.
Em resumo, se esse diretório não for protegido e os hackers conseguirem acesso a ele, seu site pode sofrer danos irreversíveis.
Para evitar isso, o ideal é que você resguarde essa aplicação, colocando uma senha no diretório.
Essa é uma medida de segurança que aumenta a proteção do sistema para o proprietário do site e dificulta a vida dos hackers.
Dessa forma, você passará a ter duas senhas, uma para login na plataforma e outra para ter acesso a área de gerenciamento do seu site em WordPress.
Isso restringe a outros usuários os poderes de acessarem partes importantes do diretório wp-admin, o que diminui as chances de invasão e danos ao seu site.
Resguarde o arquivo wp-config.php
Esse arquivo é crucial para o WordPress e acho que você já percebeu isto ao ler este texto.
O wp-config.php armazena informações importantes da instalação do sistema e é o arquivo mais importante dentro do servidor WordPress.
Para elevar o nível de segurança do seu site é preciso proteger esse arquivo.
Isso tornará a vida dos hackers muito mais difícil, já que burlar a segurança do sistema será extremamente complicado se eles não tiverem acesso a este arquivo.
Para resguardar o arquivo, basta colocar o wp-config.php em um nível superior no diretório raiz do sistema.
Isso deixará o seu site com um nível de segurança muito mais elevado do que os da maioria hospedados no WordPress.
Gostou? Confira mais dicas em nosso blog. Conheça o nosso serviço de Hospedagem de Site.
Gostou de nosso post? Compartilhe: