Sobre atualizações do WordPress, malware e novas regras
Daniel Becher | 03 de fevereiro de 2014Nos últimos dias estamos experimentando um número alto de invasões e injeções aos sites devido a falhas gravíssimas na segurança dos mesmos. A verdade é que pouco adianta um servidor ser diariamente cuidado e mantido se o na outra ponta o cliente não fizer a sua parte. Notei, ainda, que existe um número grande de instalações do WordPress (e outros softwares como Magento, Joomla, etc) desatualizadas, ou com plugins desatualizados ou, ainda, com templates ultrapassados e com código que permitem invasões. Alguns com versões inferiores à 3.3, que foi lançada em 2011.
As atualizações do WordPress servem, além de acrescentar funcionalidades e melhorar a estabilidade e a experiência com o seu usuário, justamente para corrigir problemas de segurança.
O que acontece quando um site é injetado com algum malware?
Além de ele apresentar mensagens de algum grupo que tenha feito alguma espécie de “deface”, o site pode: enviar spam (e-mails em massa) com propagandas colocando em risco a credibilidade do domínio e do IP do servidor; ser hospedeiro de phishing scam (aquelas páginas falsas, geralmente de bancos ou serviços de e-mail) que servem para capturar senhas e informações dos visitantes; disseminação de vírus e malware através da navegação do site e uma infinidade de outras coisas que podem prejudicar a credibilidade do servidor na rede.
Quando alguma instituição lesada pelo phishing scam ou qualquer outra destas consequências descobre, envia um e-mail para o datacenter, que é a empresa que hospeda nosso maquinário, e faz uma denúncia. Com esta denúncia temos menos de 24h para resolver o problema (muitas vezes resolvemos problemas no seu site e você nem fica sabendo, de tão rápido que é). Em caso de reinicidência, corremos riscos de termos o IP desroteado dentro da rede do datacenter, ou seja, ficamos offline por sermos um risco para a sua segurança.
E o que o cliente tem a ver com isso?
Entretanto com o crescimento da empresa e a popularidade dos softwares de CMS como o WordPress, infelizmente não temos mais como controlar tantos problemas oriundos pela falta de manutenção do cliente para com o seu site. Assim sendo, criei algumas regras básicas que serão colocadas em prática a partir do dia 5 de fevereiro, na quarta-feira. São elas:
1) Caso o cliente hospede versões desatualizadas de WordPress (bem como seus plugins e templates) não garantindo na sua ponta a segurança do seu site, nós suspenderemos a conta até que o cliente se manifeste se comprometendo a fazer as devidas atualizações. Esta medida é para que o site não fique exposto aos malwares e invasores.
2) Em caso de infecção por malware o cliente será notificado e será solicitada a devida manutenção. Podemos ajudar no que for possível para a remoção do mesmo, mas dentro das possibilidades do suporte, visto que é uma responsabilidade do próprio cliente fazê-la ou contratar mão de obra técnica competente para tal.
3) Em caso de reinciência, em menos de uma semana, e este oferecer risco, enviar spam ou disseminar vírus na rede, o site será removido automaticamente da Via.
Como posso fazer atualização do meu WordPress e testá-lo em seguida pra saber se fui vítima de malware?
No blog da Via Hospedagem existem vários links ensinando como fazer backup, atualizações e tudo o mais no que tange a segurança e estabilidade do seu WordPress. Para testar se o seu site é vítima de malware, utiliza o serviço Sucuri, que dá um relatório detalhado sobre o seu domínio.
Para qualquer dúvida ou ajuda com este assunto, estamos, como sempre, à disposição no suporte!
Atenciosamente,
{$signature}