Segurança no WP, evitando uma invasão

Por Mario Nery
19 dezembro, 2008 | Imprimir artigo

Esse assunto me lembra um bate-papo do BlogCamp RJ que aconteceu no OI Futuro há algum tempo atrás… Tínhamos uma sala para conversar sobre a segurança no WordPress e acabamos falando pouco do tema. Pois bem, vou falar de um caso que aconteceu comigo hoje em um dos meus blogs.

Eu costumo checar os meus blogs diariamente. Olho se está tudo rodando bem e eventualmente até respondo ou publico algum comentário que estava esperando moderação. Hoje a tarde, quando acessei o Trekking Brasil dei de cara com uma tela de FTP que me permitia controlar qualquer coisa através de um simples navegador. Bastava digitar o endereço do site para entrar na tela de FTP. Verifiquei os outros sites que ficam na mesma conta e estava tudo ok. Sabendo que o problema era isolado e que não tinha havido alteração notável nas páginas que controlam o blog optei por restringir o acesso ao endereço do site, para isso configurei uma senha e um usuário para qualquer pedido de acesso que fosse feito para aquele subdomínio, assim ninguém conseguiria acessar o site e alterar nada pelo maldito FTP…

Pronto, agora eu tinha tempo para terminar o meu dia de trabalho, acionar o suporte do host sem pressa e se fosse o caso corrigir o problema eu mesmo. O primeiro item da lista foi comunicar o host. Feito isso o rapaz me disse que retornaria uma resposta em no máximo 24 horas. Como 24 horas é tempo pacas – pra mim e pro Jack Bauer – eu resolvi agir antes deles.

Uma das coisas que eu aprendi quando comecei a estudar segurança (na época do guaraná de rolha e conexão DVI) é que quando existe uma invasão que gera uma alteração como essa – onde um script está sendo executado ou onde algo foi modificado – com certeza existirá em algum lugar do servidor um ou mais arquivos que foram incluídos e/ou alterados. De posse dessa informação foi simples achar o problema, bastou conectar via FTP e listar todos os diretórios e arquivos por data de alteração.

PS.: Isso me lembrou um “desafio hacker” que eu gostava de jogar… Era na UFRJ, eles disponibilizavam um servidor Linux e o pessoal tinha que conectar via telnet e descobrir o que tinha acontecido com o servidor, uma das fases do joguinho era justamente encontrar rootkits plantados por um suposto invasor no server… Adivinhem como? Listando arquivos e comparando as datas de alteração… Hehehe…

O resultado incluía arquivos de log e algumas pastas e arquivos diversos. Os arquivos de log estavam limpos e por si só eles são inofensivos. Não tínhamos arquivos ocultos (também conhecidos como .files ou “dot-files”), alterados ou criados com a data de hoje. O vilão estava na pasta de plugins, tratava-se de um plugin chamado “AddQuicktags” que provavelmente possuía alguma vulnerabilidade e permitiu ao atacante escancarar o meu FTP…

Plugin removido, caso solucionado. Por via das dúvidas todas as senhas foram alteradas, claro.

Esse é um relato real de algo que aconteceu e que foi contornado rapidamente por que eu notei o problema a tempo. Vale a pena deixar algumas dicas:

1. Matenha seu WP e todos os seus plugins atualizados;
2. Caso o site tenha sido desfigurado ou alterado como no meu caso, verifique se o acesso ao painel de controle ainda responde, caso responda bloqueie o acesso ao diretório onde o site está através da aplicação de uma senha no painel de controle do servidor;
3. Acione o suporte do Host;
4. Acesse seu FTP e liste os arquivos pela data de criação/alteração, localize os que foram alterados recentemente, verifique se são legítimos ou se tiveram seu código fonte alterado. Substitua ou elimine os arquivos com problema.

Bateu até saudade dos filminhos de hacker de quando eu era adolescente… Vou abrir um dos que eu mais gosto aqui, “Hackers, Piratas de computador” de 1995. Com a gata da Angelina Jolie, no papel de uma linda hacker…

Aproveite as ofertas de O Código Da Vinci, Quando Nietzsche Chorou, Anjos e Demônios no JáCotei.