WordPress

Inscreva-se em nosso canal no Youtube Daviwp

Saiba como remover definitivo script malware no título do seu site ou blog WordPress

05/07/2015 WordPress (3) comentários

WordPress Seguro

Entenda o problema.

Olá pessoal saiba como remover definitivo script malware no título do seu site ou blog WordPress, eu fiz os testes comigo mesmo e de fato funcionou! Bem tive que estudar muito pois um cliente muito grande estava com esse problema, e não tinha santo que resolvia rs, conseguir simples mente maquiar o problema, utilizando script para bloquear html no titulo dos posts, e no editor, com isso eu travei o cliente de inserir um script no seu próprio site sem saber ainda o que estava acontecendo, o problema é o seguinte com uma ferramenta que esta solta por ai chamada Brute Force Attacks é capaz de forçar o login do seu site ou blog WordPress, o hacker esta com uma lista de combinações que em instantes descobre sua senha, assim que ele roda esse script por meio de um terminal ou cmd e consegue descobrir sua senha, é até impossível agente acreditar que o cara consegue descobrir nossa senha, pois é… Mas é desta forma que ele nos trolla inserindo script no títulos dos posts, a ideia dele as vezes não é destruir nosso projeto, mas ganhar ponto com ele, por exemplo ele pode colocar um script de trojan desfasado de um flash desatualizado para enganar os usuários, e com isso, infectar vários, esse vírus trojan pode ser um script para fazer ai varias maquinas de zumbi, dando possibilidade no futuro utilizar seu pc para atacar outras pessoas. A empresa sucuri também em julho de 2014 alertou muita gente desse problema, além o DDos utilizando o XML-RPC do WordPress. Mais um assunto em breve. Como vimos, o problema é que o hacker descobre a senha do nosso admin, e insere esse script.
Veja abaixo as dicas para prevenir e ficar livre desses problema fique ligados.

Dicas para deixar seu site seguro e prevenir desse tipo de problema.

01 – Troque a senha de todos os usuários do seu site ou blog, não utilize apenas números e letras, utilize combinações com caracteres especiais, deixa suas senhas realmente difíceis essa é a peça chave para dar stop no script e no cara que esta usando um usuário para fazer isso.

02 – Mantenha seu blog ou site sempre com WordPress atualizado.

03 – troque de nome seu wp-admin para outro nome assim você dificulta ainda mais o Brute Force Attacks, utilize o plugin iThemes Security ele faz isso pra você nas configurações.

04 – Desabilite o XML-RPC no htaccess veja como abaixo.

# protect xmlrpc
<Files xmlrpc.php>
	Order Deny,Allow
	Deny from all
</Files>

05 – Mantenha todos plugins atualizados.

06 – Proteção de pingback e trackback, prevenir ataque DDos coloque no seu htaccess.

# protect xmlrpc
<IfModule mod_alias.c>
	RedirectMatch 403 /xmlrpc.php
</IfModule>

07 – Removendo opção editar dentro do painel do WordPress aparência, se você for vitima o hacker pode ter acesso seus arquivos dentro do WordPress e a coisa pode ficar feia, copie e cole no seu arquivo functions.php

function remove_editor_menu() {
  remove_action('admin_menu', '_add_themes_utility_last', 101);
}
add_action('_admin_menu', 'remove_editor_menu', 1);

08 – Removendo versão do WordPress assim o hacker não sabe a versão que você esta utilizando e um obstáculo para o tipo de ataque as vezes ele precisa saber sua versão, copie e cole no functions.php

remove_action('wp_head', 'wp_generator');

É isso amigos, espero que ajudem vocês, eu não postei código para desabilitar html tanto do titulo e do editor porque isso é só uma maquiagem, para resolver o problema do script você precisa trocar a senha do seus usuários, fazendo senha difíceis, entenda mais sobre Wp brute isso é serio consegue descobrir senhas facilmente da uma lida também nesse artigo. wpbrute

daviwp

Meu nome é Davi Alves desenvolvedor web e WordPress developer, residente de Belo Horizonte, sou um dos organizadores do WordCamp evento oficial do WordPress em BH e co-fundador do Belo Horizonte WordPress Group juntamente com o fundador Mateus Neves, sou articulista de alguns sites, e fundador do daviwp.com, aqui compartilho conhecimentos para toda galera aficionada em WordPress.