Ego§Strip

Tenho notado ultimamente um crescimento acentuado de hacked blogs, na blogosfera Portuguesa. Creio que se deve ao facto de estes estarem em instalações Wordpress que não foram actualizadas, ou com plugins de fontes suspeitas.

A melhor maneira de evitar isto é a prevenção, revejam o vosso blog periodicamente. O Matt fez um post aqui há tempos sobre protecção extra em Blogs Wordpress com alguns pontos importantes:

1. Protejam a pasta /wp-admin/ com um ficheiro .htaccess, como exemplo:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP some temporary place; delete when back
allow from 128.163.2.27

Nota: Os endereços de IP aqui listados devem ser obviamente substituídos pelos vossos endereços correspondentes.

2. Criem um ficheiro index.html em wp-content/plugins/ para evitar acesso a lista de plugins. Um plugin antigo é um alvo para hackers.

3. Subscrevam a feed do Worpress Dev blog [http://wordpress.org/development/feed/]. Assim ficam informados sempre que hajam actualizações e correcções de falhas de segurança.

Para além disso é também recomendado que removam a seguinte linha de código do header.php
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-– leave this for stats please -->
esta linha insere a versão Wordpress no código html

UPDATE: Na verdade após o vdias ter comentado lembrei-me que nem são preciso directivas, a única coisa que precisam é:

Order deny,allow
# whitelist home IP address
Allow from a.b.c.d
# whitelist work IP address
Allow from a.b.c.d
# IP some temporary place; delete when back
Allow from a.b.c.d
Deny from all

Não há posts relacionados.