Blog
Ganhar Dinheiro
Vender Publicidade
Newsletter
Contacto
Actualização de segurança para Wordpress
Actualização de segurança é uma expressão que nenhum webmaster gosta de ouvir. Significa que até agora os nossos sites estavam vulneráveis a ataques exteriores. É o caso de todos os blogs Wordpress até à versão 2.8.3.
Se tens um blog em Wordpress, como é o meu caso, e não instalaste ainda a versão 2.8.4, qualquer pessoa pode fazer reset à tua password de administrador. É extremamente simples e basta ter acesso a um browser.
Se estavas a adiar um upgrade ao teu Wordpress, se calhar está na altura de o fazer. Desde que o problema foi divulgado, é natural que muitos aprendizes de hacker já estejam a tentar invadir todos os blogs que encontrarem desactualizados.
Se por acaso recebeste um mail indicativo de reset da password e não sabes porquê, então já foste vitíma do bug. Não há razão para alarme porque o brincalhão não consegue ter acesso à password. Mas pode tornar-se muito irritante se for feito repetidamente.
Wordpress 2.8.4
|
|
Esta actualização do código do Wordpress é uma actualização de segurança, ou seja, corrige uma falha que punha em risco a segurança dos nossos blogs. Não há mais nada digno de registo nesta versão, o objectivo é só tapar o buraco que tinha ficado aberto nas versões anteriores.
A falha de segurança
O Wordpress permite que se faça reset à password de administrador, em caso de esquecimento. Infelizmente estava aberta uma porta para qualquer pessoa executar o reset da password, sem passar pela confirmação do email.
Esta é uma falha com pouca gravidade porque é o próprio administrador que recebe a nova password no seu email. De qualquer maneira, eu não quero ninguém a brincar com a minha password.
No pior caso possível, um atacante podia passar o dia todo a fazer reset da password, tornando impossível a manutenção normal do blog.
Como fazer o upgrade
Nas versões mais recentes do Wordpress, o upgrade tornou-se extremamente simples. Basta clicar num botão e inserir os dados de FTP, o resto é automático. No entanto há alguns cuidados a ter, devido ao enorme número de plugins desenvolvidos por terceiros.
Como não sabemos se todos os plugins vão ser compatíveis com a nova versão, o melhor é fazer um backup geral do site antes de começar o processo. Depois desligamos os plugins, fazemos o upgrade, e ligamos um de cada vez. Em princípio não surge nenhum problema, mas o seguro morreu de velho e convém ter sempre o backup a jeito.
Gostaste deste artigo? Subscreve o RSS feed.
Artigos relacionados
|
4 comentários 
Comentar 
Seguidores no Twitter
Sobre Mim
Sou webmaster profissional desde 2003, altura em que acabei o curso em Engenharia Informática.
Depois de criar inúmeros sites, decidi fazer o Web Milionário para partilhar conhecimentos com outros webmasters.
este “problema” já existe a bastante tempo, mas como é mesmo so reset e não acesso ao blogue, nunca olhei como trabalho de hacker porque não hackam nada! Nunca me aconteceu fazerem reset a password.
Tens razão, mas pode ser explorado. Se alguém fizer um script para te fazer reset à pass 1000 vezes por hora, nunca consegues entrar
isso seria bem chato!!!
[...] aconselhei toda a gente a actualizar o Wordpress e sugeri um backup do blog antes de qualquer upgrade. É claro que os backups também devem ser [...]