… levado a cabo por botnet . Foram já registados cerca de 90 000 endereços IP
O WordPress é uma das plataformas de conteúdos mais populares da Internet. Com esta plataforma, o utilizador pode criar facilmente sites, blogs, sites de comércio electrónico, etc, etc…de uma forma rápida, simples e muito profissional.
Nos últimos dias, muitos dos sites que têm como base o wordpress, têm sido alvo de um dos maiores ataques da história, que recorre a técnicas de força bruta para acesso à parte de gestão/administração da plataforma.
O ecossistema WordPress parece enfrentar o pior ataque de força bruta desde sempre. Segundo dados disponibilizados por Mathew Prince da CloudFIre, “..foram já registados cerca de 90 000 endereços IP que estão associados a máquinas infectadas, que fazem parte da botnet ..”(botnet – conjunto de agentes de software ou bots que se executam autonomamente e automaticamente).
It appears a botnet is being used to launch the attack and more than tens of thousands of unique IP addresses have been recorded attempting to hack WordPress installs
O ataque de força bruta consiste em atacar sites baseados em wordpress, sendo usado o utilizador por omissão “admin” e testadas milhares de passwords.
Em comunicado oficial aqui, o responsável pelo WordPress, Matt Mullenweg, referiu que, foi lançado, há cerca de três anos o WordPress 3.0 que permite ao utilizador definir a conta por omissão (desta forma, os utilizadores não têm de usar a conta admin, podendo definir uma outra). A botnet tem como principal alvo as plataformas wordpress que usam a conta admin, sendo depois testadas milhares de passwords. Para Mullenweg, esta noticia foi aproveitada de “forma inteligente” pelas empresas que vendem “soluções” para o problema.
Almost 3 years ago we released a version of WordPress (3.0) that allowed you to pick a custom username on installation, which largely ended people using “admin” as their default username. Right now there’s a botnet going around all of the WordPresses it can find trying to login with the “admin” username and a bunch of common passwords, and it has turned into a news story (especially from companies that sell “solutions” to the problem).
Mullenweg recomenda que todos os utilizadores que usem o wordpress ainda com o username admin, que procedam à actualização da plataforma, que mudem o utilizador e que definam uma password forte. Para quem usa a plataforma WP.com, é importante que activem a autenticação em dois factores e validem se têm a ultima versão do WordPress (apesar da maioria, cerca de 99% terem já a ultima actualização da plataforma).
