Wordpress - Invasão ocorrendo

[Max Rodrigues]

Bom dia pessoal!

Feliz ano novo a todos!

Bom, comecei o ano com um probleminha com um cliente, vamos lá...

O cliente instalou limpo o wordpress e utiliza os plugins:

Disable REST API
Elementor
Logo Slider by LogicHunt.com
Smart Slider 3 Pro
WP Super Minify

Todos que são pagos ele adquiriu, sem nulled.. (porém pedi acesso ao painel wp para confirmar etc....)

 

O que ocorre é:

Surge um registro de novo usuário NOVO como ADMINISTRADOR e injeta um monte de porcarias no site do cliente (posts, arquivos etc...)

 

Alguém já passou por isso e sabe como posso detectar essa vulnerabilidade?

 

 

[NullRoute]

Você já alterou os dados de acesso?

(Painéis, usuário e senha do banco de dados, etc..?)

Já tive problema assim com um cliente que migrei de outro host para o meu, dentro do index tinha uma linha que fazia a adição do usuário como administrador toda vez que um POST era enviado para a url.

 

[Rocketz]

O wordpress é um dos CMS mais atacados no mundo, (talvez por ser o mais popular também hahaha).

Não é incomum ver ataques hackers a wordpress, principalmente se você mantem a versão padrão sem nenhum recurso de segurança. 

Aqui vai algumas dicas para evitar ataques...

 

Primeiro de tudo você pode proteger seu domínio usando a CloudFlare, eles também tem algumas ferramenta contra ataque DDoS e vários outros.

Na hospedagem em si, eu sempre bloqueio as portas de acesso aos IPS originados fora do País que concentra meu público alvo, em especial a Rússia (Russos adoram passar o tempo tentando invadir sistemas).

Passando ao Wordpress em si:

- Se você não vai usar a parte de comentários recomendo desativa-la, vai diminuir consideravelmente spams e virus por comentário.

- Não use plugins que você não precisa (Usa apenas o necessário), existem muitos plugins que possuem brechas e falhas de segurança, também fica ligado em manter os plugins atualizados, se um plugin não é atualizado pelo desenvolvedor fica a sugestão de colocar na balança se vale a pena manter o plugin ou não, plugins que não são atualizados há meses pelo desenvolvedor, tendem a ser mais propensos a ter brechas de invasão, ou mesmo de incompatibilidade. 

- Vale muito a pena você limitar o acesso ao painel admin do wordpress. Por exemplo 3 tentativas de acesso ele bloqueia o usuário que está tentando acessar por 20 min, se depois ele continuar errando ele bloqueia por mais tempo.

- Você pode mudar o local de login padrão também, geralmente ele vem exemplo.com/wp-admin, tente mudar paras exemplo.com/painel  ou algo que não seja comum.

- Tente mudar o prefixo das tabelas do banco de dados, por padrão o Wordpress vem com o prefixo wp_, muda para algo que não é comum também, tido rdb_

- Vale muito a pena você usar um recaptcha tanto nos formulários, quanto nas áreas de login, ajuda muitooooo.

- jamais use temas ou plugins piratas, geralmente eles contem malwares. 

- Você também pode usar alguns plugins de firewalls eles ajudam muito...

- Não use senhas fáceis e troque com frequência. 

- Desative o relatório de erros PHP

- Faça backups diários do seu site.

 

Eu particularmente costumo bloquear o acesso administrador do Wordpress, então só IPs autorizados podem acessar o painel do admin, mas acho que isso é pira da minha parte haha.

 

Enfim, existem milhares de formas para vc proteger seu wordpress, citei algumas formas que são mais usadas, mas não se limite a elas, pesquise, pesquise e pesquise tente sempre se aperfeiçoar nesse sentido, afinal a internet muda muito rápido e nunca estará totalmente segura.

 

[Raphael Araujo]

Tente usar alguns Plugins para inibir ataques como o Wordfence, ele ajuda bastante e bloqueia alguns ataques na versão free mesmo, se desejar até pode comprar, mas para mim acho que não precisa.

O Sucuri tbm é bom usar caso deseje para injeção de ataque em arquivos etc - se eu não estiver errado

[MatheusCauduro]

Em 03/01/2022 em 10:00, Raphael Araujo disse:

Tente usar alguns Plugins para inibir ataques como o Wordfence, ele ajuda bastante e bloqueia alguns ataques na versão free mesmo, se desejar até pode comprar, mas para mim acho que não precisa.

O Sucuri tbm é bom usar caso deseje para injeção de ataque em arquivos etc - se eu não estiver errado

Já chegou a utilizar o WP Cerber?

O free também é bem interessante e tem diversas funções muito úteis.

Com ele é possível alterar a url wp-admin, mitigar ataques de força bruta e injeção de código

Restringir o acesso pela Geo localização, impede a API REST e enumerações de usuários comuns, também dá pra restringir a API e o XML-RPC, ETC...

Tem muito mais e não irei citar tudo aqui pra não ficar extenso.

É o que eu tenho usado e a avaliação dele está bem alta.

Gostaria de saber a opinião dos colegas.

[Otavio]

Primeira situação,
Deverá verificar se o mesmo não esta presente na DB, hoje em dia muitas injeções ocorrem direto na db.

Segundo - Plugins:
No wp mostrar que é original não é muito valido, primeiro tem de checar se ele comprou o plugin direto do site OFICIAL, ou se esta usando aqueles sites que vendem trocentos plugins alegando gpl estes são nulled que se passam por originais.

Terceiro:
A proteção por plugins vai gerar um load maior, o ideal é que seu servidor proceda com parte das filtragens básicas e até um anti-malware
Imunify360 ou cpguard

O mais provável é que seja na própria data-base pelos casos que tenho pegado recentemente. 

 

[Max Rodrigues]

Agradeço aos amigos!

Todas dicas já coloquei em prática algumas, e algumas delas já surgiu efeito, bloqueado uns IP de fora etc.. e achei realmente algo na DB.

Vou confirmar todos detalhes o que pode ser e compartilho depois o resultado final.

 

[chuvadenovembro]

Se tiver como recuperar um backup antes da exploração e fazer tudo que foi recomendado aqui é melhor ainda.

[AngelCosta]

A  MAIOR causa disso é login e senha. Ou são vazados (pq a pessoa tende a usar a mesma senha em todo lugar) ou usa aquela senha padrão do softaculous (admin/pass).

Wordfence, sucuri e o que sugeriram acima.

[denisalvesbh]

Olá,
Nessa parte da "aplicação" existe um quadro no Trello listando os itens relacionados a segurança para o WordPress.
Vale a pena verificar.

https://trello.com/b/ckLYi5RT/br-lista-de-segurança-do-wordpress