Respostas no Fórum

Visualizando 15 respostas - 1 até 15 (de um total de 20)
  • Pessoal,

    Esse tipo de ataque (code injection) geralmente é feito através de vulnerabilidades em plugins e temas. São centenas de milhares de plugins criados e distribuidos por qualquer um e fica praticamente impossível acompanhar todas as formas de proteger o seu site WordPress, certo?

    Bom, aqui vai um pequeno trecho de código que bloqueia o acesso direto a arquivos PHP dentro dos plugins e temas. Na prática, isso deveria ser prevenido pelo próprio plugin, usando funções que o WP disponibiliza para deixar o plugin mais seguro, mas, nem todos fazem.

    Atenção, o código abaixo pode fazer com que algum plugin tenha alguma função bloqueada, caso ele utilize acesso direto aos arquivos PHP pelo usuário. Ao identificar algo assim, substitua o plugin por outro com a mesma funcionalidade.

    O código abaixo deve ser colocado num arquivo .htaccess dentro da pasta wp-content:

    ## REMOVE ACCESS TO NO-ASSETS FILES
    order deny,allow
    deny from all
    <files ~ ".(xml|css|jpe?g|png|gif|js)$">
    allow from all
    </files>

    Após fazer isso, mude as senhas de logins e as variáveis SALT no wp-config.

    Caso precisem de ajuda profissional, eu ofereço pacotes de limpeza e segurança para WordPress. Basta entrar em por e-mail -> contato [at] tecnocracia.net.

    Dá uma olhada aqui:

    http://br.forums.wordpress.org/topic/widgets-com-problemas?replies=9#post-41591

    Me parece ser o mesmo problema.

    Abs e boa sorte

    Gebien,

    Qual o site?

    Abs

    Deseplot,

    Dá uma olhada no arquivo functions.php do seu tema. É provável que você tenha algumas definições de thumbnails, com vários tamanhos. Se essas imagens não estão sendo utilizadas em seu site (posts relacionados, arquivos de posts, resultados de busca, sliders da home, etc), você pode remover essas linhas.

    Após qualquer alteração nos thumbnails de um tema, use um plugin chamado Regenerate Post Thumbnails para gerar os arquivos novamente, apenas nos tamanhos corretos.

    Mas, atenção, porque se essas imagens estiverem sendo usadas no tema, elas ficarão quebradas após sua intervenção.

    Abs e boa sorte

    WDutra,

    Para a opção de plugins nem aparecer em sua tela de administração, provavelmente o seu usuário não tem permissões administrativas nesse blog. Talvez seja esse o motivo para não poder editar os widgets também.

    Se o blog for seu e você está acessando com uma conta que antes possuía acesso administrativo, pode ser que suas permissões tenham se corrompido (algum plugin ou mesmo algum tipo de malware).

    Tente criar um novo usuário admin, via mySQL, para ganhar acesso e depois restaurar suas permissões.

    Algumas referências:

    http://interessespessoais.com/programacaoweb/como-adicionar-um-utilizador-admin-ao-wordpress-via-mysql/

    http://br.forums.wordpress.org/topic/perda-da-permissao-de-acesso?replies=3

    Se precisar de ajuda profissional com isso, me manda um e-mail em contato [at] tecnocracia.net

    Abraço e boa sorte

    Nerthan,

    O .htaccess é um arquivo especial que modifica configurações do Apache. Você pode ter um desses em cada pasta que quiser.

    Lembrando que:
    – um subfolder herda as configurações de htaccess do folder pai
    – o conteúdo do arquivo htaccess que está no root e possui as configurações para o funcionamento do WordPress não deve ser repetido em subfolders

    Assim sendo, o código que eu citei acima deve ser colocado em um arquivo novo, chamado .htaccess, dentro do folder wp-content, caso não exista um arquivo já. Se existir um .htaccess dentro do wp-content, você pode editá-lo e adicionar o código antes das outras linhas.

    Se precisar de ajuda profissional, pode entrar em contato direto comigo, no e-mail contato@tecnocracia.net. Eu ofereço esse e outros serviços em WordPress.

    Abs

    Nerthan,

    Se você colocou o código dentro de wp-content/.htaccess e deu esse erro, eu vejo algumas possibilidades que jusitificariam:

    – incompatibilidade com algum tipo de plugin
    – configuração do seu hosting que impede ou limitad o uso de .htaccess

    Lembre-se, o código não é para ser inserido no seu htaccess do root directory, é pra ser inserido dentro do diretório wp-content. Ou, alternativamente, você pode inserí-lo em wp-content/plugins e wp-content/themes.

    Abraço

    Ah! Outra dica:

    Alguns malwares se aproveitam de cookies do usuário para distribuir infecção. Então, se o seu site está 100% fechado e protegido e mesmo assim códigos continuam aparecendo nos seus posts ou widgets, uma das razões pode ser a infecção local de um usuário com poderes de acesso ao wp-admin.

    Funciona assim: você está logado no seu wordpress e tem poder de author ou de admin. Ao acessar um site que esteja infectado, você mesmo (sem saber, óbvio) atualiza um dos últimos posts e adiciona o script no título ou num widget. Também pode acontecer de o malware estar instalado localmente em sua máquina, após ter baixado e instalado o falso plugin de flash.

    Sempre eliminem todas as possibilidades antes de pirar, porque mesmo depois de tudo isso, o problema pode estar no hosting e o ataque estar sendo feito diretamente no mySQL ou através de um outro tipo de invasão ao servidor.

    Don’t panic. Eliminando as possibilidades, uma a uma, você finalmente vai descobrir qual o problema e, no caminho, vai aprender um monte sobre segurança no WordPress. 😉

    Abraço e boa sorte

    Recomendo muito o WP Better Security e fazer todas as alterações que ele recomenda no dashboard. Isso ajuda muito a proteger o blog contra os principais ataques.

    No entanto, como toda precaução é pouca, recomendo um código no .htaccess da pasta wp-content que previne acessos diretos a plugins e temas – os principais culpados em code injection.

    Atenção, o código abaixo pode fazer com que algum plugin tenha alguma função bloqueada, caso ele utilize acesso direto aos arquivos PHP pelo usuário. Ao identificar algo assim, substitua o plugin por outro com a mesma funcionalidade.

    O código abaixo deve ser colocado num arquivo .htaccess dentro da pasta wp-content:

    ## REMOVE ACCESS TO NO-ASSETS FILES
    order deny,allow
    deny from all
    <files ~ ".(xml|css|jpe?g|png|gif|js)$">
    allow from all
    </files>

    Caso tenham interesse em ajuda profissional, eu ofereço pacotes de limpeza e segurança para WordPress. Basta entrar em contato [at] tecnocracia.net.

    Fórum: Ajustando o WordPress
    Em resposta a: malware wordpress

    Pessoal,

    Esse tipo de ataque (code injection) geralmente é feito através de vulnerabilidades em plugins e temas. São centenas de milhares de plugins criados e distribuidos por qualquer um e fica praticamente impossível acompanhar todas as formas de proteger o seu site WordPress, certo?

    Bom, aqui vai um pequeno trecho de código que bloqueia o acesso direto a arquivos PHP dentro dos plugins e temas. Na prática, isso deveria ser prevenido pelo próprio plugin, usando funções que o WP disponibiliza para deixar o plugin mais seguro, mas, nem todos fazem.

    Atenção, o código abaixo pode fazer com que algum plugin tenha alguma função bloqueada, caso ele utilize acesso direto aos arquivos PHP pelo usuário. Ao identificar algo assim, substitua o plugin por outro com a mesma funcionalidade.

    O código abaixo deve ser colocado num arquivo .htaccess dentro da pasta wp-content:

    ## REMOVE ACCESS TO NO-ASSETS FILES
    order deny,allow
    deny from all
    <files ~ ".(xml|css|jpe?g|png|gif|js)$">
    allow from all
    </files>

    Caso tenham interesse, eu ofereço pacotes de limpeza e segurança para WordPress. Basta entrar em contato [at] tecnocracia.net.

    Pessoal,

    Esse tipo de ataque (code injection) geralmente é feito através de vulnerabilidades em plugins e temas. São centenas de milhares de plugins criados e distribuidos por qualquer um e fica praticamente impossível acompanhar todas as formas de proteger o seu site WordPress, certo?

    Bom, aqui vai um pequeno trecho de código que bloqueia o acesso direto a arquivos PHP dentro dos plugins e temas. Na prática, isso deveria ser prevenido pelo próprio plugin, usando funções que o WP disponibiliza para deixar o plugin mais seguro, mas, nem todos fazem.

    Atenção, o código abaixo pode fazer com que algum plugin tenha alguma função bloqueada, caso ele utilize acesso direto aos arquivos PHP pelo usuário. Ao identificar algo assim, substitua o plugin por outro com a mesma funcionalidade.

    O código abaixo deve ser colocado num arquivo .htaccess dentro da pasta wp-content:

    ## REMOVE ACCESS TO NO-ASSETS FILES
    order deny,allow
    deny from all
    <files ~ ".(xml|css|jpe?g|png|gif|js)$">
    allow from all
    </files>

    Caso tenham interesse, eu ofereço pacotes de limpeza e segurança para WordPress. Basta entrar em contato [at] tecnocracia.net.

    Fórum: Temas
    Em resposta a: wordpress não exporta

    Para backups e restores do banco de dados, se o usuário não tiver conhecimento técnico para fazer diretamente no mySQL, recomendo o DBManager: http://wordpress.org/extend/plugins/wp-dbmanager/

    Abs

    Bruno,

    Acho que você já resolveu o problema, não vi nenhum read more desnecessário em seu blog. Que tal compartilhar a solução e encerrar a thread? 😉

    Abs

    PaperToyArt,

    Você seguiu alguma dica para evitar hotlink de imagens que sugeriu alterações no seu arquivo .htaccess? Caso positivo, você vai ter que adicionar exceções nas regras para possibilitar a visualização das imagens por leitores do feed via web.

    Dá uma lida nesse meu artigo (meio antigo): http://tecnocracia.com.br/67/estao-roubando-sua-banda/

    Abs

    Veja se o HTML está fechando alguma DIV e com isso detonando o seu layout, ou simplesmente se o CSS não está adequado.

    Dica para sidebars que flutuem ao lado do conteúdo: overflow:hidden para evitar que conteúdo maior que a largura do espaço faça ele quebrar.

    Abs

Visualizando 15 respostas - 1 até 15 (de um total de 20)