Sobre atualizações do WordPress, malware e novas regras

Nos últimos dias estamos experimentando um número alto de invasões e injeções aos sites devido a falhas gravíssimas na segurança dos mesmos. A verdade é que pouco adianta um servidor ser diariamente cuidado e mantido se o na outra ponta o cliente não fizer a sua parte. Notei, ainda, que existe um número grande de instalações do WordPress (e outros softwares como Magento, Joomla, etc) desatualizadas, ou com plugins desatualizados ou, ainda, com templates ultrapassados e com código que permitem invasões. Alguns com versões inferiores à 3.3, que foi lançada em 2011.

As atualizações do WordPress servem, além de acrescentar funcionalidades e melhorar a estabilidade e a experiência com o seu usuário, justamente para corrigir problemas de segurança.

O que acontece quando um site é injetado com algum malware?

Além de ele apresentar mensagens de algum grupo que tenha feito alguma espécie de “deface”, o site pode: enviar spam (e-mails em massa) com propagandas colocando em risco a credibilidade do domínio e do IP do servidor; ser hospedeiro de phishing scam (aquelas páginas falsas, geralmente de bancos ou serviços de e-mail) que servem para capturar senhas e informações dos visitantes; disseminação de vírus e malware através da navegação do site e uma infinidade de outras coisas que podem prejudicar a credibilidade do servidor na rede.

Quando alguma instituição lesada pelo phishing scam ou qualquer outra destas consequências descobre, envia um e-mail para o datacenter, que é a empresa que hospeda nosso maquinário, e faz uma denúncia. Com esta denúncia temos menos de 24h para resolver o problema (muitas vezes resolvemos problemas no seu site e você nem fica sabendo, de tão rápido que é). Em caso de reinicidência, corremos riscos de termos o IP desroteado dentro da rede do datacenter, ou seja, ficamos offline por sermos um risco para a sua segurança.

E o que o cliente tem a ver com isso?

Entretanto com o crescimento da empresa e a popularidade dos softwares de CMS como o WordPress, infelizmente não temos mais como controlar tantos problemas oriundos pela falta de manutenção do cliente para com o seu site. Assim sendo, criei algumas regras básicas que serão colocadas em prática a partir do dia 5 de fevereiro, na quarta-feira. São elas:

1) Caso o cliente hospede versões desatualizadas de WordPress (bem como seus plugins e templates) não garantindo na sua ponta a segurança do seu site, nós suspenderemos a conta até que o cliente se manifeste se comprometendo a fazer as devidas atualizações. Esta medida é para que o site não fique exposto aos malwares e invasores.

2) Em caso de infecção por malware o cliente será notificado e será solicitada a devida manutenção. Podemos ajudar no que for possível para a remoção do mesmo, mas dentro das possibilidades do suporte, visto que é uma responsabilidade do próprio cliente fazê-la ou contratar mão de obra técnica competente para tal.

3) Em caso de reinciência, em menos de uma semana, e este oferecer risco, enviar spam ou disseminar vírus na rede, o site será removido automaticamente da Via.

Como posso fazer atualização do meu WordPress e testá-lo em seguida pra saber se fui vítima de malware?

No blog da Via Hospedagem existem vários links ensinando como fazer backup, atualizações e tudo o mais no que tange a segurança e estabilidade do seu WordPress. Para testar se o seu site é vítima de malware, utiliza o serviço Sucuri, que dá um relatório detalhado sobre o seu domínio.

Para qualquer dúvida ou ajuda com este assunto, estamos, como sempre, à disposição no suporte!

Atenciosamente,

{$signature}