A plataforma WordPress é utilizada hoje em dia em milhões de sites, seja através de soluções Hosted como o caso do WordPress.com, ou através da versão opensource que permite aos utilizadores instalarem a plataforma nos seus mesmos serviços de alojamento (Self-Hosted).
O facto de ser uma plataforma fácil de instalar e que permite uma personalização rápida e sem muitos conhecimentos técnicos, faz com que as pessoas que normalmente utilizam a plataforma não tenham a preocupação de a manter actualizada, de melhorar o performance da mesma ou aumentar a sua segurança.
Infelizmente, a popularidade desta plataforma, faz dela um alvo para os internautas mal intencionados. Neste momento está em progresso um ataque distribuído de brute force aos sites que utilizam esta plataforma feito através de várias dezenas de milhares de IPs diferentes.
Este tipo de ataques poderá levar a que os dados de autenticação da sua plataforma WordPress sejam descobertos caso utilize uma password fácil de descobrir e ao mesmo tempo irá consumir intensivamente os recursos dos servidores.
Esta situação está a afectar grande parte dos fornecedores de soluções de hosting de todo o mundo, não sendo os servidores da WebTuga uma excepção, tendo sido já verificadas algumas situações.
Neste artigo gostariamos não só de alertar os nossos clientes que utilizam a plataforma WordPress, mas também de lhes fornecer algumas dicas para aumentar a segurança dos seus sites e bloquear este tipo de ataque.
O ataque é feito seguindo um padrão recorrente, onde endereços de IPs aleatórios se tentam conectar ao wp-login.php para tentar autenticarem-se com passwords aleatórias.
Para tal, poderá ser feito um bloqueio temporário a esse ficheiro, criando uma dupla autenticação.
Proteger ficheiro wp-login.php por dupla autenticação via .htaccess
Uma das formas para proteger-se deste ataque é adicionar uma autenticação extra ao aceder ao ficheiro wp-login.php. Para tal poderá seguir os seguintes passos:
- 1.1 – Aceda ao seguinte site e nele crie uma combinação de username e password segura: http://www.htaccesstools.com/htpasswd-generator/
- 1.2 – Será fornecida uma linha de código contendo a informação do username e a password encriptada, sendo necessário copiar essa informação. Exemplo: teste:$apr1$soz9B4Sb$uawMR.vfCQRxtLTE2oId41
- 1.3 – Aceda ao seu painel de controlo cPanel e clique no menu “Gerenciador de Arquivos” (Gestor de Arquivos ou File Manager) e marque a opção “Mostrar arquivos escondidos (dotfiles).”, clicando posteriormente em “OK”.
- 1.4 – Certifique-se que está na directoria de raiz da sua conta de alojamento e clique no icon “Nova Arquivo”. Vai-lhe aparecer uma janela, onde deverá indicar o nome do novo ficheiro a criar. Neste caso vamos dar-lhe o nome de “.wpadmin” (não esquecer o ponto antes do nome).
- 1.5 – Agora clique no ficheiro criado com o botão direito do rato e seleccione a opção “Edit”. Cole ai o código obtido no passo 1.2 e guarde o ficheiro.
- 1.6 – Aceda à pasta public_html ou www da sua conta de alojamento ainda dentro do gestor de ficheiros do cPanel, onde irá encontrar o ficheiro .htaccess. Clique novamente com o botão direito do rato e posteriormente em “Edit”.
- 1.7 – Agora deverá colocar este código linhas no final do ficheiro, devendo alterar onde diz “username” para o seu utilizador de acesso ao cPanel;
- 1.8 – Guarde o ficheiro e tente aceder ao http://www.oseusite.pt/wp-login.php. Em principio deverá aparecer-lhe uma caixa do browser a solicitar que insira o username e a password que definiu no primeiro passo.
Esta alteração irá fazer com que os IPs dos servidores/computadores utilizados para este ataque sejam bloqueados e não consumam recursos no servidor.
WordPress: Plug-ins de Segurança
Poderá também instalar alguns plug-ins que melhoram a segurança da sua plataforma WordPress, tais como:
Serviços Segurança na Cloud
Uma forma adicional de proteger o seu site, é recorrendo a serviços como o CloudFlare, CloudProxy da Sucuri, ou o Incapsula. Todos estes serviços têm filtros web que permitem bloquear tráfego suspeito, tendo o CloudFlare e a Sucuri implementado já regras especificas para este ataque:
- Sucuri: Protecting Against WordPress Brute-Force Attacks
- CloudFlare: Patching the Internet in Realtime: Fixing the Current WordPress Brute Force Attack
Se tem utiliza a plataforma WordPress ou tem algum familiar, colega ou conhecido que utiliza esta plataforma, não se esqueça de lhe passar este artigo, pois poderá evitar muitas dores de cabeça.
Caso tenha alguma duvida, bastará deixar nos comentários ou no caso de ser nosso cliente enviar-nos um e-mail para o departamento técnico. Teremos todo o gosto em ajudá-lo com qualquer configuração necessária que o proteja contra este ataque e optimize o seu site.
http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html