Notícias e Informações da Mindnet Hospedagem
Foi disponibilizado nos servidores compartilhados o PHP na versão
No momento estão disponíveis as versões 7.2, 7.3, 7.4, 8.0 e 8.1.
Em breve será removida a versão 7.2, que já não é mais suportada pela PHP.NET, deixando de receber atualizações e correções de segurança. A data de remoção desta versão será divulgada com antecedência.
O plugin Wordfence para WordPress agora tem uma função muito interessante: ao tentar fazer login no seu wordpress você receberá um SMS no seu celular, contendo um código único e aleatório para ser adicionado a sua senha.
Sem este código o login não funciona – ou seja, mesmo que alguém descubra a senha do seu WordPress não conseguirá entrar no administrativo do seu blog, porque é preciso o código que foi enviado para o seu celular via SMS. E você pode ativar este recurso para todos os usuários dos seu blog.
Esta função do Wordfence é disponível apenas na versão Premium do plugin, que pode custar entre 5 a 40 dólares por ano, dependendo da quantidade de licenças e tempo de licenciamento.
Nós testamos este plugin e o recursos de autenticador por SMS – e realmente funciona perfeitamente, adicionando uma camada de segurança ao seu WordPress.
Mesmo que você não queira comprar a versão Premium do Wordfence, vale a pena instalar a versão gratuita – que oferece vários recursos de segurança para o seu WordPress. É praticamente um plugin obrigatório em qualquer instalação do WordPress.
Foi lançada a versão 3.5.2 do WordPress – se o seu site utiliza este sistema recomendamos fazer a atualização o mais breve possivel.
Esta atualização corrige SETE falhas de segurança no WordPress:
* Server-Side Request Forgery (SSRF) via the HTTP API. CVE-2013-2199.
* Privilege Escalation: Contributors can publish posts, and users can reassign authorship. CVE-2013-2200.
* Cross-Site Scripting (XSS) in SWFUpload. CVE-2013-2205.
* Denial of Service (DoS) via Post Password Cookies. CVE-2013-2173.
* Content Spoofing via Flash Applet in TinyMCE Media Plugin. CVE-2013-2204.
* Cross-Site Scripting (XSS) when Uploading Media. CVE-2013-2201.
* Full Path Disclosure (FPD) during File Upload. CVE-2013-2203.
Fonte; http://codex.wordpress.org/Version_3.5.2
A atualização normalmente é fácil e automatizada, desde a versão 2.7 do WordPress é possível atualizar o sistema pela própria interface de administração.
O repositório do WordPress contem bons plugins de segurança, que monitoram a sua instalação do WordPress buscando atividades maliciosas e suspeitas. Estes são alguns plugins que recomendamos:
EXPLOIT SCANNER – Verifica os arquivos do seu WordPress e os posts, e mostra o que pode conter código malicioso. Links de spam podem estar escondidos em seus posts usando CSS e IFRAMES, e este plugin detecta este tipo de atividade.
WORDFENCE SECURITY – É um plugin poderoso, que você deve ter. Ele compara os arquivos do seu WordPress com a distribuição original, qualquer modificação é detectada. Além disso ele bloqueia usuários após X tentativas de login erradas.
WORDPRESS SENTINEL – Outro plugin útil que monitora os arquivos do seu WordPress e alerta quando um arquivo é adicionado, alterado ou apagado.
WP NOTIFIER – Excelente plugin, ele te avisa quando saírem atualizações do WordPress, temas e plugins. Assim você não perde as atualizações e mantem seu blog sempre atualizado.
VIP SCANNER – Este plugin de segurança faz uma varredura nos templates do seu blog e alerta qualquer problema encontrado. Também detecta propaganda injetada em seus posts.
Vale a pena investir alguns minutos e instalar plugins de segurança no seu WordPress. Infelizmente os casos de ataques a sites com WordPress são comuns.
São comuns os casos de blogs/sites que tem o WordPress hackeado – e mais comum ainda é o motivo: o proprietário do blog/site instalou o WordPress, alguns plugins e temas e nunca mais tratou de atualizá-los.
As atualizações são disponibilizadas pelo desenvolvedor do WordPress não apenas para oferecer novos recursos, mas incluem também correções do código que melhoram a segurança do sistema e removem eventuais falhas de segurança, que permitem o hacker a acessar o seu WordPress e fazer modificações sem o seu conhecimento.
PORQUE VOCE DEVE SE PREOCUPAR EM MANTER O WORDPRESS ATUALIZADO?
– Com o seu WordPress hackeado se o hacker hospedar conteúdo malicioso, o Google vai bloquear o acesso ao seu site para os visitantes que utilizam o FireFox e Chrome. Seu site/blog perde visitantes e credibilidade.
– Por estar bloqueado, hospedando conteúdo malicioso, o Google pode diminuir o PageRank do seu site/blog, e você perderá mais visitantes.
– Com o seu WordPress hackeado você pode perder seus dados mais atuais. Mesmo com o backup da empresa de hospedagem, você pode perder dados recentes pois o backup não é atualizado em tempo real.
– WordPress hackeado? Mesmo que não seja bloqueado pelo Google, você vai perder visitantes, clientes.
– Com o seu WordPress hackeado, o hacker poderá enviar emails e divulgar mensagens em nome do seu site, da sua empresa. Imagine o tipo de problema que isso pode trazer.
DICAS PARA MANTER O SEU WORDPRESS SEGURO:
1. Mantenha seu WordPress atualizado. Hackers tem sistemas automatizados que ficam visitando sites feitos em WordPress, procurando uma determinada versão que tem uma falha de segurança conhecida. O sistema do hacker ao achar o seu WordPress desatualizado já sabe o tipo de falha que pode existir e alerta ao hacker, que por sua vez pode conseguir em poucos minutos hackear o seu site/blog. As versões mais recentes do WordPress já trazem um aviso de novas atualizações, bastando clicar para atualizar automaticamente.
2. Atualize tambem seus temas e plugins. Nem sempre é o WordPress que é invadido, os temas e plugins tambem ficam desatualizados. Não adianta muito atualizar só o WordPress. Se existem temas instalados que você não usa mais, remova-os.
3. Não utilize o usuario admin do WordPress. O usuário admin é o mais comum, é o usuario padrão do WordPress. Mude o login deste usuario para outro, pois o hacker sempre irá tentar acessar via brute-force o seu WordPress com o usuário admin.
4. Utilize senhas fortes. O hacker tem sistemas de brute-force que tentam milhões de combinações de senhas possíveis – considere usar senhas realmente complexas. Misture letras, números e símbolos. Utilize o site http://testedesenha.com.br para avaliar a qualidade da sua senha.
5. Mantenha suas outras aplicações atualizadas. Além do WordPress seu site também tem um fórum, um guestbook ou um sistema de chat? Então atualize-os também. Todos os sistemas ativos sofrem atualizações frequentes.
6. Mantenha sua senha de FTP e painel de controle seguras. Vale a mesma regra da dica 4, mantenha senhas seguras e complexas.
7. Permissões de arquivos. Nos servidores da Mindnet não é preciso dar permissoes 777 ou qualquer outra. As permissoes padrão são suficientes para executar o WordPress. Todos os arquivos devem ter permissão 644 e todas as pastas 755. Qualquer permissao diferente destas é insegura e desnecessária.
8. Considere utilizar uma CDN como o CloudFlare. Resumidamente, de forma leiga, uma CDN fica entre o seu site e a internet. É uma camada de distribuição do seu site – e uma CDN como o CloudFlare além de servir de cache para o seu site vai bloquear as tentativas de hackers mais comuns, aumentando consideravelmente a segurança. O serviço é gratuito, saiba mais em: http://www.wptotal.com/cloudflare-aumente-a-velocidade-e-a-seguranca-do-seu-site/