Categorias
WordPress

WordPress 4.7.5 e o que vem por ai com a versão 4.8

Nos últimos dias tivemos vários anuncios importantes referentes ao WordPress 4.8 a nova versão que esta em beta e outros referente a segurança:

Primeiro anuncio a versão 4.8 do WordPress não dara mais suporte as versões 8, 9 , 10 do internet explorer, Matt anunciou em seu blog que o suporte a essas versões está travando o desenvolvimento da plataforma. Todos os fronts comemoram essa decisão.

Ainda sobre a nova versão grandes mudanças foram anunciadas novos recursos para widgets, agora a widget de texto possui  um editor visual por padrão, antes era possível com adição de plugin. Também foram anunciadas três widgets uma de vídeo, audio e imagens.

Segundo anuncio, aproveitando o gancho dos últimos incidentes e o grande ataque realizado pelo #wannacry,  o WordPress está engajado na comunidade hackerone. Para quem não conhece hackerone é uma plataforma que os usuários reportam falhas de segurança e recebem bonificações dependendo do nível da falha. Em seu perfil oficial, serão discutidos outros projetos como: BuddyPress, bbPress, GlotPress e WP-CLI. Até o momento 3.700 dolares foram repassados para 7 diferentes reports.

Finalizando, essa semana saiu uma atualização de segurança do WordPress, a versão 4.7.5 ela contém  seis correções de segurança e segundo o WordPress está atualização deve ser  realizada imediatamente. Os updates estão relacionados a nova parceria com o hackerone, são falhas referente a XSS, Cross Site request Forgery e melhorias na XML-RPC API.

Referencias:

WordPress Is Now on HackerOne, Launches Bug Bounties

WordPress 4.7.5 Patches Six Security Issues, Immediate Update Recommended

 

What to Expect in WordPress 4.8

Target Browser Coverage

 

Categorias
WordPress

Vulnerabilidade na versão 4.7 do WordPress

Uma das grandes features do WordPress lançada na versão 4.7, a API de REST possui uma vulnerabilidade. Se você utiliza esta versão corra já e atualize seu WordPress, nas versões 4.7 e 4.7.1 é possível injetar conteúdo em qualquer post, mesmo não estando logado. Alguns sites falam em 1.5 milhão de sites infectados.

A vulnerabilidade

Este bug foi corrigido na versão 4.7.2. A vulnerabilidade pode trazer um problema bem chato qualquer pessoa pode injetar conteúdo em seus posts através da WordPress REST API, um dos endpoints da API permite que os visitantes deslogados consigam editar, excluir e adicionar qualquer post do seu site ou blog.

Solução

Então fique de olho sempre deixe seu blog ou site atualizado e com backups em dia. Desde a versão 3.7 o WordPress possui updates do core automático, mas com um intervalo maior para realizar a atualizar nesse caso o melhor é antecipar a atualização para evitar dor de cabeça. Mais uma dica de segurança é seguir o WordPress security checklist, uma série de passos para evitar problemas com o seu site:

http://wpsecuritychecklist.org/br/items/

 

Foto: Tim Lee

Categorias
WordPress

Nova atualização do wordpress versão 3.4.2

Completando 3 meses a versão 3.4 do WordPress já atingiu 15 milhões de downloads. No último dia 06 de setembro saiu mais uma atualização de segurança e correções dos seguintes itens:

  • Problemas com o administrador em browser antigos
  • Problemas com o modulo de pré-visualização.
  • Problemas com links de paginação em categorias
  • Erros do trackback e oEmbed
  • Melhorias da integração de plugins com o editor visual.

A lista completa você confere aqui : http://core.trac.wordpress.org/query?status=closed&resolution=fixed&milestone=3.4.2&group=resolution&order=severity&desc=1

Para baixar a nova versão do wordpress no seguinte link : http://wordpress.org/download/

Categorias
Tutoriais Web WordPress

Dicas de segurança para sites WordPress

Se fala muito sobre as vulnerabilidade de segurança no WordPress. Os problemas de segurança nem sempre são problemas da Aplicação, mas maior parte vem da forma em que ele é utilizado. Não sou um perito em segurança mas nesse post vou listar algumas dicas básicas de segurança para o seu site WordPress.

1 – Tenha uma hospedagem decente, antes de subir seu site procure saber se a hospedagem realiza backup do seu site e de quanto em quanto tempo isso é feito. Se a hospedagem fornece SFTP ou SSL* é plus considerável para sites com bastante visitação.

2 – Não dependa 100% da hospedagem também realize backups temporários do seu site.

3 – Manter o wordpress sempre atualizado (incluindo plugins), cada atualização do wordpress sempre eles corrigem algumas brechas, então mantenha seu WordPress atualizado.

4 – Manter sua máquina limpa(óbvio). Invadir a maquina de um desenvolvedor WordPress pode gerar dor de cabeça para vários sites.

5 – Eliminar os plugins que não estão sendo utilizados, feche a maior parte de janelas possívies para invasão.

6 – Não exibir a versão do seu WordPress, muitos temas informam qual a versão do WordPress em uma tag meta no header.php (inspecione o código do seu site e procure essa meta no head). Cade versão do WordPress tem uma vulnerabilidade específica então isso pode ser uma atalho para o hacker

7 – Evitar de subir o site com o usuário admin. (Se o hacker sabe do seu usuário ele já tem meio caminho andado para invadir seu site)

8 – Nunca usar senhas fáceis, tente usar letras maiúsculas/minúsculas, caracteres especiais e números. (“admin”, “admin123”, “nomedosite123”, “adminadmin”… not!)

9 – Não usar mesma senha para admin do wordpress, o admin da hospedagem e o admin do banco de dados. “O camarada descobriu uma senha ferrou tudo brother!”

10 – Mudar o prefixo do banco de dados ”wp_” (essa opção você seleciona na instalação ou no wp-config)

11 – Nunca usar Permissões 777 para todos os arquivos, pode usar um esquema simples para permissões: 755 para pastas e 644 para arquivos

12 – Mudar o local do wp-config.php você pode mover o arquivo wp-config.php para o diretório logo acima da sua instalação do WordPress, ele será reconhecido automaticamente pelo WordPress. Mas cuidado o wp-config.php poderá ficar apenas UM nível acima da instalação do WordPress.

13 – Bloquear via .htaccess** o acesso ao wp-config.php com o seguinto código :


order allow,deny
deny from all

14 – Configurar os mecanismos de busca para não varrer as pastas de adminstração do wordpress com o robots.txt*** adicionando o código:

Disallow:/wp-*

15 – Desabilitar multiplas tentativas de Login com o plugin login lockdown, vou falar dele a seguir quando for listar alguns plugins.

16 – Não informar que informação está errada na tela de login, se alguém tentar adivinhar a senha do seu site, podemos retirar a mensagem “user inválido” ou “senha inválida”, isso dificulta a vida de nosso invasor. Para aplicar essa ação adicionamos o seguinte filtro no functions.php do seu tema:

add_filter('login_errors',create_function('$a','returnnull;'));

17 – Instalar um plugin anti-spam, não suba seu site sem o http://akismet.com/ ou plugin equivalente. Não é bem uma invasão mas é possível fazer um ataque de estress sobre o servidor. Como funciona? O hacker usa várias máquinas para enviar comentários para o seu site, com um número muito alto de requisições por um determinado tempo ele consegue derrubar seu servidor.

Links complementares

*criptografia com ssl : http://codex.wordpress.org/Administration_Over_SSL
** Bloqueando acesso a pastas ou diretorios com htaccess : http://www.deivison.com.br/blog/2012/01/27/bloqueando-acesso-a-pasta-por-htpass-e-htaccess/
*** “O que é o robots.txt ?” : http://www.seomarketing.com.br/robots.txt.html
Verificação de segurança do seu site : http://sitecheck.sucuri.net/scanner/

Plugins

Abaixo vou listar alguns plugins que vão aplicar alguns dos conceitos citados acima além de outras funcionalidades.

BulletProof Security – plugin que realiza configurações de segurança com o .htaccess em vários diretórios. Realiza um scan de segurança para as permissões das pastas. Link : http://wordpress.org/extend/plugins/bulletproof-security/

WordPressSecurityScan – Plugin que busca falhas no seu site wordpress, senhas fracas, permissões, meta contendo versão do wordpress e códigos escondidos. link : http://wordpress.org/extend/plugins/wp-security-scan/

Secure WordPress – Esconde a mensagem de login error, adiciona index.php para para todas as pastas que não a possuem evitando que algumas pastas quando acessadas listem os arquivos. Link : http://wordpress.org/extend/plugins/secure-wordpress/

Exploit Scanner – Realizar uma varredura por arquivos, códigos ou informações no banco dados potencialmente maliciosas(não remove a informação apenas detecta). Link : http://wordpress.org/extend/plugins/exploit-scanner/

Login lockdown plugin – Bloqueia um usuário(por IP) caso tente fazer várias tentativas de login por números de tentativas em um intervalo. Link : http://wordpress.org/extend/plugins/login-lockdown/

Fast Secure Contact Form – Uma alternativa para formulário de contato com alguns ajustes de segurança. Link : http://wordpress.org/extend/plugins/si-contact-form/

Referências :

http://codex.wordpress.org/pt-br:Blindando_o_WordPress
http://codex.wordpress.org/pt-br:Site_Invadido
http://blog.sucuri.net/2012/04/lockdown-wordpress-a-security-webinar-with-dre-armeda.html
http://www.slideshare.net/williamsba/wordpress-security-from-wordcamp-nyc-2012
http://www.slideshare.net/flavioaugustosilveira/por-um-wordpress-mais-seguro-13354465

Categorias
Web WordPress

Permissões de pastas e arquivos no WordPress

Para quem não conhece controle de permissões, ele especifica quem pode: ler, escrever, modificar e acessar os arquivos em seu site. Essas permissões são divididas em tipos de usuário User(owner), Group e Public(world). Funciona da seguinte forma, os números 777, 666, 755, 604 representam a permissão de cada tipo de usuário, o primeiro digito da esquerda pra direita é referente a permissão do Owner, o segundo digito do Group e o último do Public.

Como podemos ver na imagem abaixo:

Onde esse número de cada grupo é o somatório de três valores

  • r – read – permissão de leitura que tem valor 4
  • w – write – permissão de escrita que tem valor 2
  • x – execute – permissão para executar o arquivo tem valor 1

Então se um grupo tem valor 7(4+2+1 ou r+w+x) ele tem permissão de ler, escrever e executar o arquivo

A maioria dos servidores quando você faz a instalação manual do WordPress precisa alterar as permissões das pastas. Tudo sobre permissões você encontrará aqui: http://codex.wordpress.org/Changing_File_Permissions.

Mas você não está com coragem suficiente para ler tudo no link acima, então aqui vai um resumo:

NUNCA usar permissão 777 pode dar certo mas você pode ter problemas futuramente. Aumenta a chance de ocorrer bugs nas atualizações de plugins e referente a segurança você pode pode ter problemas como roubo de arquivos e ainda possibilidade de você perder seu blog.

WordPress codex : The worst that can happen as a result of using 777 permissions on a folder or even a file, is that if a malicious cracker or entity is able to upload a devious file or modify a current file to execute code, they will have complete control over your blog, including having your database information and password.

Em regra:

  • /wp-content/ , /wp-admin/, /wp-include/ deve atribuir permissões 755 para tal e suas subpastas
  • wp-config.php – modificar permissão para 644
  • .htaccess – 644
  • php.ini – 644
  • php.cgi – 755
  • php5.cgi – 755

Para editar valores de permissão no ftp, no meu exemplo eu vou utilizar o filezilla, selecione o arquivo ou pasta e clique com o direito, como na imagem abaixo:

Quando selecionar o opção para editar a permissão irá mostrar a seguinte tela :

Nessa tela tem a possibilidade de você aplicar a alteração de permissões as subpastas e seus arquivos.

Obs.: Se sua hospedagem é Locaweb “Boa Sorte”(brincadeira). Se for Locaweb o ideal é alterar a permissão no painel de controle da Locaweb mas garantido da permissões dos arquivos serem realmente alteradas.