Jump to content

Wordpress - Invasão ocorrendo

Max Rodrigues
 Share

Recommended Posts

Max Rodrigues

Max Rodrigues

Posted
Posted

Bom dia pessoal!

Feliz ano novo a todos!

Bom, comecei o ano com um probleminha com um cliente, vamos lá...

O cliente instalou limpo o wordpress e utiliza os plugins:

Disable REST API
Elementor
Logo Slider by LogicHunt.com
Smart Slider 3 Pro
WP Super Minify

Todos que são pagos ele adquiriu, sem nulled.. (porém pedi acesso ao painel wp para confirmar etc....)

 

O que ocorre é:

Surge um registro de novo usuário NOVO como ADMINISTRADOR e injeta um monte de porcarias no site do cliente (posts, arquivos etc...)

 

Alguém já passou por isso e sabe como posso detectar essa vulnerabilidade?

 

 

0

  • Administration
NullRoute

NullRoute

Posted
  • Administration
Posted

Você já alterou os dados de acesso?

(Painéis, usuário e senha do banco de dados, etc..?)

Já tive problema assim com um cliente que migrei de outro host para o meu, dentro do index tinha uma linha que fazia a adição do usuário como administrador toda vez que um POST era enviado para a url.

 

1

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Rocketz

Rocketz

Posted
Posted

O wordpress é um dos CMS mais atacados no mundo, (talvez por ser o mais popular também hahaha).

Não é incomum ver ataques hackers a wordpress, principalmente se você mantem a versão padrão sem nenhum recurso de segurança. 

Aqui vai algumas dicas para evitar ataques...

 

Primeiro de tudo você pode proteger seu domínio usando a CloudFlare, eles também tem algumas ferramenta contra ataque DDoS e vários outros.

Na hospedagem em si, eu sempre bloqueio as portas de acesso aos IPS originados fora do País que concentra meu público alvo, em especial a Rússia (Russos adoram passar o tempo tentando invadir sistemas).

Passando ao Wordpress em si:

- Se você não vai usar a parte de comentários recomendo desativa-la, vai diminuir consideravelmente spams e virus por comentário.

- Não use plugins que você não precisa (Usa apenas o necessário), existem muitos plugins que possuem brechas e falhas de segurança, também fica ligado em manter os plugins atualizados, se um plugin não é atualizado pelo desenvolvedor fica a sugestão de colocar na balança se vale a pena manter o plugin ou não, plugins que não são atualizados há meses pelo desenvolvedor, tendem a ser mais propensos a ter brechas de invasão, ou mesmo de incompatibilidade. 

- Vale muito a pena você limitar o acesso ao painel admin do wordpress. Por exemplo 3 tentativas de acesso ele bloqueia o usuário que está tentando acessar por 20 min, se depois ele continuar errando ele bloqueia por mais tempo.

- Você pode mudar o local de login padrão também, geralmente ele vem exemplo.com/wp-admin, tente mudar paras exemplo.com/painel  ou algo que não seja comum.

- Tente mudar o prefixo das tabelas do banco de dados, por padrão o Wordpress vem com o prefixo wp_, muda para algo que não é comum também, tido rdb_

- Vale muito a pena você usar um recaptcha tanto nos formulários, quanto nas áreas de login, ajuda muitooooo.

- jamais use temas ou plugins piratas, geralmente eles contem malwares. 

- Você também pode usar alguns plugins de firewalls eles ajudam muito...

- Não use senhas fáceis e troque com frequência. 

- Desative o relatório de erros PHP

- Faça backups diários do seu site.

 

Eu particularmente costumo bloquear o acesso administrador do Wordpress, então só IPs autorizados podem acessar o painel do admin, mas acho que isso é pira da minha parte haha.

 

Enfim, existem milhares de formas para vc proteger seu wordpress, citei algumas formas que são mais usadas, mas não se limite a elas, pesquise, pesquise e pesquise tente sempre se aperfeiçoar nesse sentido, afinal a internet muda muito rápido e nunca estará totalmente segura.

 

0
Raphael Araujo

Raphael Araujo

Posted
Posted

Tente usar alguns Plugins para inibir ataques como o Wordfence, ele ajuda bastante e bloqueia alguns ataques na versão free mesmo, se desejar até pode comprar, mas para mim acho que não precisa.

O Sucuri tbm é bom usar caso deseje para injeção de ataque em arquivos etc - se eu não estiver errado

0
MatheusCauduro

MatheusCauduro

Posted
Posted
Em 03/01/2022 em 10:00, Raphael Araujo disse:

Tente usar alguns Plugins para inibir ataques como o Wordfence, ele ajuda bastante e bloqueia alguns ataques na versão free mesmo, se desejar até pode comprar, mas para mim acho que não precisa.

O Sucuri tbm é bom usar caso deseje para injeção de ataque em arquivos etc - se eu não estiver errado

Já chegou a utilizar o WP Cerber?

O free também é bem interessante e tem diversas funções muito úteis.

Com ele é possível alterar a url wp-admin, mitigar ataques de força bruta e injeção de código

Restringir o acesso pela Geo localização, impede a API REST e enumerações de usuários comuns, também dá pra restringir a API e o XML-RPC, ETC...

Tem muito mais e não irei citar tudo aqui pra não ficar extenso.

É o que eu tenho usado e a avaliação dele está bem alta.

Gostaria de saber a opinião dos colegas.

0
Otavio

Otavio

Posted
Posted

Primeira situação,
Deverá verificar se o mesmo não esta presente na DB, hoje em dia muitas injeções ocorrem direto na db.

Segundo - Plugins:
No wp mostrar que é original não é muito valido, primeiro tem de checar se ele comprou o plugin direto do site OFICIAL, ou se esta usando aqueles sites que vendem trocentos plugins alegando gpl estes são nulled que se passam por originais.

Terceiro:
A proteção por plugins vai gerar um load maior, o ideal é que seu servidor proceda com parte das filtragens básicas e até um anti-malware
Imunify360 ou cpguard

O mais provável é que seja na própria data-base pelos casos que tenho pegado recentemente. 

 

0

FOX SOLUÇÕESTransforme problemas em soluções | www.foxsolucoes.com
-> Gerenciamento Linux especializado para quem não pode parar.
-> Consultoria, otimização e operação completa de ambientes VPS, dedicados e cloud.

Max Rodrigues

Max Rodrigues

Posted
  • Author
Posted

Agradeço aos amigos!

Todas dicas já coloquei em prática algumas, e algumas delas já surgiu efeito, bloqueado uns IP de fora etc.. e achei realmente algo na DB.

Vou confirmar todos detalhes o que pode ser e compartilho depois o resultado final.

 

0
  • Administration
AngelCosta

AngelCosta

Posted
  • Administration
Posted

A  MAIOR causa disso é login e senha. Ou são vazados (pq a pessoa tende a usar a mesma senha em todo lugar) ou usa aquela senha padrão do softaculous (admin/pass).

Wordfence, sucuri e o que sugeriram acima.

0

'Cause he's my best friend, he's my pal. He's my homeboy, my rotten soldier. He's my sweet cheese. My good-time boy.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?

  I accept
-