Proponha uma correção, faça uma sugestão
Milhares de websites em WordPress estão a ser apagados por completo por atacantes
No que toca a websites e blogs, o WordPress é a plataforma de eleição para muitos programadores para este tipo de desenvolvimento.
Se tem um website com base nesta ferramenta, saiba que está a ocorrer um ataque que está a eliminar milhares de websites.
Na hora de escolher uma plataforma para desenvolvimento de um website, o WordPress é a plataforma escolhida pela maior parte dos programadores e empresas.
Embora esta seja uma plataforma repleta de addons e plugins que facilitam a programação e o desenvolvimento, a verdade é que está também susceptível a um número maior de riscos de segurança.
Recentemente registou-se um novo ataque que eliminou milhares de páginas. Descoberto pelos investigadores da WebARX, esta vulnerabilidade teve origem no plugin ThemeGrill Demo Importer, instalado em 100 mil páginas e que permitiu aos atacantes apagar completamente websites inteiros e, em alguns casos, tomar conta da página.
Falha no Plugin de wordpress já permitiu pelo menos 17 mil ataques
A equipa de investigação da WebARX, ao se aperceberem deste problema, comunicaram imediatemente o caso à equipa de programadores da ferramenta, no dia 2 de fevereiro. A solução para este problema só chegou no último domingo juntamente com uma atualização que ainda poucos instalaram. Segundo os investigadores, a falha está ainda a ser explorada e já se detetaram 17 mil ataques.
Como já foi referido, esta vulnerabilidade permite aos atacantes eliminar por completo websites. Deste modo, o website fica a apresentar o artigo "Hello World" que normalmente surge após instalar o wordpress. O caso fica mais grave quando está configurado um utilizador "Admin", padrão também no início dos desenvolvimentos. Nestes casos, permite ao atacante também assumir o controlo da página e publicar contéudo.
Este erro deve-se ao facto do plugin não fazer a autenticação dos utilizadores antes de permitir executar comandos que requerem permissões de adminstrador.
Esta falha de segurança tem já uma solução disponível, pelo que recomendamos que caso use este plugin, que o atualize imediatamente.
Este artigo tem mais de um ano
Loading ...
Não da para apagar o site do Hugo Gil?
Agora quero ver as desculpas que os putos que andam por aí a se auto intitularem de programadores, só porque sabem instalar sites WP e a vendê-los por 3.500€ cada, vão dizer aos clientes que o site deles foi atacado e que não tem experiência para os corrigir.
Há muita verdade nestas palavras …
yep concordo plenamente.
Ganhei o dia com o teu comentário!!! Obrigado
Nenhuma experiência do mundo dá para corrigir estes Websites. Ou têm backups ou não têm. Simples
Nem mais, mas quem compra tem 100% da culpa, porque prefere pagar uns tostões a um qualquer miúdo para “montar ” um site igual a todos os outros, cheios de componentes de origem desconhecida, do que pagar a profissionais de qualidade, sem esquecer que um site necessita de manutenção programada e muito frequente.
+10000
Já lá vão alguns anos mas lembro-me da conversa da malta de WP quando comparava outrros CMS’s: “Ai o Joomla não presta” … “Ai o WP é que é bom” … e agora, Pimba ! Vão lá ver o nível de segurança do “Joomla não presta” …
Nem um nem outro. O histórico de problemas de segurança é muito extenso nos dois casos.
Hoje em dia prefiro pagar e ter sites baseados em Windows Server.
Lá por ser C# não quer dizer que seja melhor que PHP.
Websites criados de raíz em PHP não são inferiores aos criados em C#.
Nao é só WordPress que estão vulneraveis, ha tantos neste Mundo por ai fora e de facil identificação que nao estão seguros!
So quem não aposta em segurança e quer mais barato é que ve os sites irem abaixo e serem deformados ou phishing/mais spam a aparecer nos seus emails!…
Dos testados so conheço cerca de 1.000.000 sites no Mundo que tem A+ , cerca de 8.000.000 com cotacao A, como segurança! O resto,.., B, C, D, E, F ( cerca 38.000.000), testados de um Universo de cerca de 68.000.000 sites / dominios testados.
Ja agora a pplware tem cotacao D, mas mais a cair para o F!… Acho que teem que fazer alguma coisa! =\
Alguns bancos tem D em Portugal (por isso é que ha tantos esquemas phishing/spam) … conheço muito poucos Bancos mais usuais com cotacao A !
Algumas empresas nem sabem o que é segurança, preferem ter um site só comercial com muito spam e muito phishing, pois ha desenvolvedores que nao pescam nada em segurança e não sabem fazer formularios ou scripts seguros e cingem-se mesmo aos cMS e plugins existentes e muitos deles vulneráveis e desatualizados ao longo do tempo!…
Estatisticas dizem que sites simples estaticos HTML e .aspx são menos vulneraveis do que sites dinamicos efetuados por exemplo com .php, há de facto muita vulnerabilidade em .php e injeções sql em sites e ninguem ao parecer , não sabem mesmo disto!
Veem um pequeno pedaço de codigo na net e tica de fazer copy-paste sem analisarem o que realmente faz!
Ha muitas agencias de profissionais Web que fazem sites, que também não sabem o que fazem! Pois não tem equipes segurança a analisarem o dominio / site antes de ir para o Ar!
Há muitas agencias e profissionais que dizem que sabem fazer paginas, do tipo pagina na hora, pagina em 15 dias!… dizem que a fazem em menos tempo e pouco dinheiro, …. até pode ser muito bonitinha e terem jeito para coisa, mas será que fica mesmo segura!?
nop… acredito que em breve estes fechem mesmo, pois não sabem nada de segurança e serem desacreditados depois, pois nem sequer se dignam a evoluir nestas competências de hoje em dia que se tem que ter segurança e até conformidade com leis em vigor!
Comentário sem fundamento nenhum, mas que raio tem haver o rating da velocidade da página com segurança?
.aspx ou .php são linguagens de programação dinamica logo as falhas existem se forem feitas por quem não domina, ou pq efetivamente pode existir um exploit do core, agora dizer que uma é mais segura que a outra, é mais uma vez, um comentário sem qualquer fundamento
… “Theme Details for pplware.sapo.pt
WordPress theme detected is called namek”… Só faltava terem o respectivo plugin 🙂
E por isto que adoro o Fedora e arch (é acualizado de hora a hora),
gosto do windows 10 (dias),
odeio o android (anos……………………).
O software tb devia ser assim, e é mas ng tem tempo para os avisos, sexta-feira e sempre dia de 0-day. !#$”$&$/()”$##.
https://en.wikipedia.org/wiki/Zero-day_(computing)