FacebookTwitter

Arquivo de janeiro de 2012

Problemas com operadoras de internet no Brasil

quinta-feira, 19 de janeiro de 2012

Usuários de redes sociais relataram falhas no acesso à internet em conexões Speedy na tarde/noite desta quinta-feira (19). A instabilidade atingiu principalmente o acesso a sites internacionais, segundo relatos no Twitter.

A Telefônica, que administra o Speedy, reconheceu o problema e disse que a situação já foi resolvida. Segundo a assessoria de imprensa, houve instabilidade no serviço internacional que liga o Brasil aos Estados Unidos, o que “pode ter causado a alguns clientes Speedy dificuldades de acesso a websites hospedados naquele país”.

Internautas também relataram problemas com o Virtua. O G1 tentou contato com a NET, mas não conseguiu falar com a assessoria de imprensa da empresa.

Fonte: G1

————–

Tivemos relatos de clientes de outras operadoras de internet, que utilizam links/rotas da telefônica, que tiveram o mesmo problema, incluindo de acesso a sites hospedados aqui mesmo no Brasil, onde encontraram lentidão/instabilidade para acesso a uma grande quantidade de domínios hospedados tanto no Brasil como no Exterior, incluindo serviços como Facebook, Twitter, entre outros.

Compartilhe com os Amigos:

Tags:, , , ,
Publicado em Posts Diversos | Nenhum comentário »

Segurança WordPress em seu Site ou Blog

domingo, 8 de janeiro de 2012

A FRHOST como provedor de hospedagem toma todas as medidas de segurança possíveis diariamente, para deixar nossos servidores mais seguros e estáveis, barrando o máximo de visitas indesejadas e suspeitas com sistemas atualizados com versões estáveis, firewalls físicos e lógicos, backups e segurança sempre conferidos por nossa equipe, checagem de exploits, entre outros.

Mas estas medidas acabam sendo sem utilidade para você, se no seu blog ou site possuir scripts desatualizados e com falhas de segurança, onde a parcela de responsabilidade do seu desenvolvedor acaba deixando a desejar. É certo que a maioria dos ataques é facilitada pelo descuido do próprio desenvolvedor/responsável com estes scripts inseguros, onde acabam sendo negligenciados e fazendo a diferença entre perder um projeto e se preocupar depois com soluções para correção.

Então lembre-se, você é o maior interessado em deixar o seu site ou blog seguros, utilizando scripts atualizados, senhas difíceis, camadas de proteção, etc. E antes de realizar qualquer alteração em seu site ou blog tenha real conhecimento no que irá realizar, caso contrário poderá danificar a sua instalação, neste caso solicite estas alterações ao seu webmaster/desenvolvedor, e sempre backups antes de qualquer alteração.


1. Objetivo

Neste post pretendemos abordar aspectos que ajudem a melhorar a segurança no seu site ou blog wordpress.

2. WordPress

Primeiro vamos focar nos ajustes e configurações da interface web.


2.1 Versão WordPress

Busque sempre utilizar a última versão disponível do WordPress.

Não tenha medo de atualizar, vale mais a pena ajustar seu tema e configurações, se houver alguma mudanças,  do que correr um risco de segurança, você não acha?

A versão do site do projeto é testada por centenas de desenvolvedores e milhares de usuários, atualize sempre para as versões mais novas.

Ao fazer isto você vai sempre contará com inúmeras correções (bugfix) e melhorias.

2.2 Versões Plugins

Prefira sempre plugins com documentação, boa aprovação e aceitação dos usuários, principalmente aqueles com vários reviews.

Mantenha seus plugins atualizados e se possível, em caso de sites com grande movimento, peça para seu desenvolvedor avaliar cada plugin buscando falhas que podem ser exploradas como XSS e SQL Injections.

Infelizmente os desenvolvedores de plugins não se preocupam com a escalabilidade, portanto, alguns plugins podem deixar seu site lento e pesado por não terem sido projetados para grandes tráficos, logo estes merecem avaliação cuidadosa e testes de carga com apoio da sua equipe de infraestrutura (devops) e desenvolvedores.


2.3 Senhas

Utilize senhas fortes alfanuméricas, case sentitive (maiusculas e minúsculas) e símbolos.

Suas senhas devem ter pelo menos 8 caracteres, se possível use mais.

Use um gerador automático de senhas, isso evita que você construa senhas com percepções pessoais, algo que pode ser explorado por atacantes estudando seu perfil em redes sociais por exemplo.

Veja um exemplo de senha forte, alfanuméricas com símbolos.

q7w=1@fzctzd;d

=jil~J9R0JmG/x

Você precisa guardar essas senhas de forma segura, afinal são complicadas e difíceis de gravar em nossa memória, para isto anote estes dados em um local seguro em seu computador.

Use senhas com essa complexidade principalmente para acesso ao banco de dados do wordpress.


2.4 Usuários


2.4.1 Admin

Em caso de um ataque de força bruta o primeiro usuário que vão tentar usar é o ADMIN, ele é o usuário padrão de administração do wordpress, portanto meu amigo, remova as credenciais deste usuário, crie um usuário com outro NOME e especifique privilégios de ADMIN, logue-se com esse novo usuário e logo depois remova o usuário ADMIN.


2.4.2 Pessoal

Crie diretamente os usuários que vão trabalhar e alimentar o site.

Evite criar usuários com nomes simples Guto, Paulo, José, Carol pois esses são os primeiros que o pessoal vai tentar ‘forçar’ a autenticação.

Crie apelidos para seus usuários e defina as permissões corretas, editor, colaborador, revisor, etc.

Mesmo definindo um nome aleatório para a conta, lembre-se que internamente  você vai enxergar o ‘Nome Real’ do usuário, basta preencher esse campo corretamente durante o cadastro.

Exemplo:

Usuário: Gv10[4Rv4lh0

Nome Real: Gustavo Carvalho


2.4.3 Usuários nos temas

Não permita que os visitantes do site vejam o nome de quem publicou o post no seu tema, isso em caso de um site que se preocupa com segurança.

Se fizer isso no seu tema, você estará dando metade da informação necessária para que alguém execute um ataque de força bruta em seu blog.

Por último, desabilite o registro de usuários, cadastre manualmente seus colaboradores, assim é mais seguro.

2.5 Acesso Remoto

Utilize senhas seguras de acesso ao seu FTP, painel de controle da sua hospedagem e emails.

2.6 Informações do sistema
2.6.1 Versão

Omitir versão do wordpress é importante, se o atacante sabe a versão ele pode procurar por exploits vigentes que podem te afetar caso algo ainda não tenha atualizado seu blog.

Para resolver isto basta editar o functions.php do seu tema e adicionar a linha abaixo.

remove_action(‘wp_head’, ‘wp_generator’);

Você pode utilizar um plugin para isto, antes de intervir continue lendo até a seção de plugins.
2.6.2 Robots

Evite que os robos varram e indexem diretórios administrativos de seu site.

Edite o arquivo robots.txt da raiz e insira a linha abaixo:

Disallow: /wp-*


2.7 Cuidando do Banco de Dados

Quando o wordpress é instalado por padrão, ele cria tabelas com o prefixo wp-*

Usar essa tabelas facilita a vida do atacante pois ele conhece quais são as tabelas de usuário, posts, etc, assim ele pode tentar fazer injections e alterar os dados destas.

Para dificultar a vida do atacante podemos mudar o prefixo das tabelas para qualquercoisa-* por exemplo, isso pode ser feito durante a instalação.

Se seu wordpress já estiver instalado, vamos indicar alguns plugins que te ajudam a fazer esta mudança.


2.8 Permissões de arquivos

É importante definir corretamente as permissões de arquivos do seu wordpress

Nunca use 777 para diretórios e arquivos, faça o correto.

Use sempre a permissão 755 (RWX,R–,R–) para diretórios e 644 (RW-,R–,R–) para arquivos.


2.9 Backup

Faça Backups regulares dos arquivos estáticos e dinâmicos do WordPress, incluindo banco de dados.


3.0 Plugins WordPress

Abaixo vamos apresentar alguns plugins interessantes para você utilizar em seu wordpress, mas isso não significa que você tem que sair baixando tudo e instalando tudo, alguns podem sobrepor outros, entenda o que cada um faz primeiro e tenha conhecimento no que irá realizar, se não, solicite este procedimento ao seu webmaster, na seção 4.4 vamos te ajudar a combinar alguns plugins de segurança para você ter maior eficiência no uso destes.

3.1 Segurança

Vamos começar pelos plugins que são o foco deste post, segurança!

3.1.1 Akismet

Este plugin lhe permite controlar SPAM no seus comentários e track-backs, evitando vandalismos em seu site.

É um dos plugins de mais eficientes para essa finalidade.

http://akismet.com/

3.1.2 Bad Behavior

Utilizar plugin Bad Behavior para bloquear IPs maliciosos e comportamentos suspeitos.

Este plugin analisa toda o início das requisições HTTP, caso um bot seja detectado ele rejeita o acesso.

Ele avalia IPs sujos e outros comportamentos diminuindo as chances de vandalismo em seu site.

http://bad-behavior.ioerror.us/documentation/benefits/

3.1.3 WP Better Security

É um dos plugins mais completos, vale a pena utilizar, e sempre tem atualizações muito recentes, acompanhando o lançamento das releases do WP.

Este plugin remove tags com versão do wordpress

Remove erros de login

Permite mudar URLS de áreas administrativas

Limita o acesso ao ADMIN para alguns ips

Pode banir acesse de alguns IPs

Tem suporte a desligar login no wordpress em perídos (por exemplo de madrugada).

Previne tentativas de login por força bruta

Não deixa os usuários internos verem a versão do seu wordpress

Remove notificacões de atualizações dos usuários que não são admins

Aumenta a segurança do seus diretórios via controles htaccess

Detecta comportamentos suspeitos no site e te manda e-mails avisando

Permite renomear a conta Admin

Permite tocar o prefixo do seu banco de dados wp* para outra coisa

Pode desabilitar edição de arquivos de temas via Admin

Pode forçar acesso SSL ao admin.

Dentre outros recursos.

http://bit51.com/software/better-wp-security/

3.2 Sysadmin

Plugins que ajudam na administração do site.

3.2.1 WPDB-Manager

Utilizar plugin WPDB-Manager para cuidar do seu banco de dados.

Ele te permite administrador o banco com os seguintes recursos:

Backup diario

Otimização da base

Reparo de base e tabelas corrompidas

3.3 Outros Plugins interessantes

3.3.1 Login Lockdown

Utilizar plugin Login Lockdown para evitar força bruta no login.

Você define quantos erros cada tentativa de login pode ter, de quanto em quanto tempo a pessoa pode tentar se logar após um erro e o tempo de bloqueio caso a regra definida seja infringida.

Você pode inibir as mensagens de erro de login, isso é interessante para evitar que o atacante saiba se o usuário é válido.

Você pode visualizar os IPs bloqueados e liberar o IP se for um falso positivo.

http://www.bad-neighborhood.com/login-lockdown.html

3.3.2 Ask Apache Password Protect

Este plugin protege os diretórios e arquivos do seu wordpress. Fora isto ele também analisa e inibe alguns comportamentos maliciosos.

Abaixo os principais pontos em que ele atua:

Protege o diretório wp-content

Protege o diretório wp-include

Protege o diretório wp-admin com segunda camada de autenticação

Protege o arquivo wp-login.php com segunda camada de autenticação

Inibe a listagem de arquivos nos diretórios do WP (indexes apache)

inibe o acesso direto a arquivos dinâmicos em diretórios administrativos

Fora isto ele tem métodos de proteção contra SPAM, Hijacking, XSS dentre outros.

É um plugin muito completo, porém use com cuidado, dependendo da proteção seu tema e plugins podem quebrar.

Uma coisa trabalhosa é que dependendo do que você habiltar para ele proteger, por exemplo, diretório wp-content, demandará desligar o plugin para fazer atualizações no Core do WordPress , Plugins e temas.

http://wordpress.org/extend/plugins/askapache-password-protect/

3.3.3 Secure WordPress

Recursos do plugin:

Desativa o retorno de mensagens de erro no login (possibilitam saber se o usuário existe)

Esconde versão do WordPress nos cabeçalhos

Esconde versões do WordPress no dashboard para usuários “não admins”

Esconde versões do WordPress nos Stylesheets do frontend (visão do usuário)

Criar arquivos index.php em ‘plugins’ e ‘themes’ para evitar listagem de diretórios

Remove alertas de update do wordpress para “não admins”

Remove alertas de atualização de plguins para “não admins”

Protege o wordpress contra URL’s maliciosas

Tem suporte a auditoria do websitedefender.com

Atua na detecção de Malware presente em seu website

Atua na auditoria do website buscando problemas de segurança

Evita que você seja bloqueado (blocklist) pelo google

Mantém o conteúdo do seu website seguro

Envia alertas sobre comportamentos suspeitos

http://wordpress.org/extend/plugins/secure-wordpress/

3.3.4 Security Scan

Este plugin avalia seu ambiente e lhe sugere melhorias.

Através dele você pode inclusive mudar o prefixo de suas tabelas no baco de wp-* para algumacoisa-* , dificultando a vida do atacante.

Ele oferece os seguintes recursos:

Gerador de senhas fortes

Avalia, alerta e permite ajustar permissões de arquivos inseguras

Avalia, alerta e permite desativar o retorno de erros em tentativas de login

Avalia, alerta e permite ajustar a segurança de sua base de dados

Permite o backup de sua base de dados

Permite trocar o prefixo de suas tabelas

Verifica se a versão do WP no sistema está oculto

Verifica se a versão do WP nas META TAGS está oculto

Verifica se o usuário ADMIN existe e tem privilégios de ADMIN

Verifica se o WP está atualizado

Verifica se os diretórios estão protegidos por arquivos .htaccess

http://wordpress.org/extend/plugins/wp-security-scan/

3.3.5 AntiVirus

Uma forma simples de verificar os arquivos do wordpress e temas.

Pronto para rodar no wordpress 3

Detecta backdoor no sub-sistema permalink

Verifica os arquivos do wordpress atrás de código malicioso – dá muito falso positivo

Verifica os arquivos do seu tema atrás de código malicioso – dá muito falso positivo

Tem suporte a whitelist para excluir arquivos da checagem – para evitar falso positivo

Tem suporte a agendamento para executar a verificação diariamente.

Você pode usá-lo eventualmente para dar um checada principalmente no tema, abuse da whitelist para ele não ficar alarmando coisas que você tem certeza que não são problema.

http://wpantivirus.com/

3.4 Ativando plugins de segurança que não vão se sobrepor

3.4.1 Segurança Combinado 1 – Nível Preocupado

  • Akismet + Badbehavior para cuidar de SPAMs e comportamentos maliciosos.
  • Secure WordPress + Security Scanner para monitorar aspectos de segurança, omitir informações e proteger diretórios.
  • Login Lockdown para barrar ataques de força bruta no login.

O Secure WordPress e Security Scanner te permitem usar o site websitedefender.com para scannear e monitorar seu site, esse site tem alguns ferramentas bem bacanas, o plugins integram seu blog ao site para monitoração constante.

Esta combinação, é eficiente porém requer vários plugins ativos, algo que pode deixar seu site com menor performance.


3.4.2 Segurança Combinado 2 – Nível Paranóico

  • Akismet + Badbehavior para cuidar de SPAMs e comportamentos maliciosos.
  • Secure WordPress + Security Scanner para monitorar aspectos de segurança, omitir informações. Aqui por favor desative a parte de proteçao de diretórios, vamos fazer isso em outro plugin.
  • Login Lockdown para barrar ataques de força bruta no login.
  • Ask Apache Password para criar uma segunda camada de autenticação e proteger diretórios.

Essa combinação é bastante eficiente, o único problema é que o Ask Apache Password quando ativado não permite atualização de temas, plugins ou do CORE do WORDPRESS, você precisa desligá-lo, fazer a manutenção e ligá-lo novamente, isso pode ser cansativo, porém, se busca um nível alto de segurança essa é a combinação para você.

3.4.3 Combinação 3 – Nível Segurança na Medida

  • Akismet + Bad Behavior
  • WP Better Security

Essa combinação abrange quase todas as anteriores, com excessão da segunda camada de autenticação, dependendo do tamanho e visitação do seu blog será mais do que suficiente.


3.5 Conclusão

É possível ter um ambiente wordpress seguro sem muitas dificuldades, existe uma grande quantidade de plugins que podem nos ajudar, só devemos tomar cuidado para não utilizar plugins demais, degradando a performance da ferramenta, ou utilizar ferramentas e plugins de segurança que sobreponham recursos de outras, por exemplo dois plugins fazendo a mesma coisa, isto irá te causar problemas, então tome muito cuidado com isto.

Além de usar as ferramentas,  as boas práticas descritas na seção 2, relativas as senhas, nomes de usuários e configurações são sempre os melhores caminhos para se ter um ambiente realmente seguro e incólume, nunca se esquecendo da realização regulares de backups.


3.6 Referências/Créditos

gutocarvalho.net

wordpress.org

wordpress.com

wikipedia.org

Compartilhe com os Amigos:

Tags:, , ,
Publicado em Segurança Online | Nenhum comentário »

Segurança Joomla – Tornando o Joomla mais Seguro

sexta-feira, 6 de janeiro de 2012

Muitas pessoas perguntam se o Joomla é seguro e como podem tornar os seus websites em Joomla mais seguros? Com certeza o Joomla é seguro, porém, existem vários fatores que podem contribuir sensivelmente para uma possível brecha na segurança.

Abaixo encontra-se listado alguns pontos fundamentais e outros desejáveis à melhor performance do Joomla, em relação a segurança.

  • Troque o usuário padrão do Joomla (admin), por outro qualquer e atribua-lhe uma senha forte;
  • Evite instalar extensões pouco conhecidas e utilizadas;
  • Diretórios devem possuir permissão (0755) e arquivos (0644).
  • Use o plugin JSecure para encapsular o /administrator do seu website;
  • Desabilite o relatório de erros pois eles pesam o seu website e mostram aos possíveis invasores, as falhas de segurança do seu website. Para desabilitar o relatório basta seguir a seguinte sequência: Configurações Globais – Sistema – Relatório de Erros -> nenhum;
  • Renomeie e mova o arquivo configuration.php para um novo diretório.

Exemplo:

  • Renomeie o arquivo configuration.php que está na raiz do website, para config.conf
  • Crie um diretório config e mova o arquivo para este diretório
  • Com o bloco de notas aberto, digite o script abaixo e salve, na raiz do seu website, como configuration.php
<?php
require( dirname( __FILE__ ) . '/config/config.conf' );
?>

Ficar de olho nas extensões vulneráveis

Não adianta você manter seu Joomla atualizado, se você tem várias extensões instaladas que não estão devidamente atualizadas. A utilização de uma única extensão insegura coloca em perigo todo o seu site.

Para evitar isto você deve tomar as seguintes precauções:

- Faça uma relação de todas as extensões que você utiliza e procure se informar de novas atualizações para elas;
- Procure saber se as extensões que estão sendo utilizadas são seguras e se não são vulneráveis a ataques que comprometam o seu site.

Para isto procure sempre estar bem informado sobre possíveis extensões vulneráveis e verifique se há atualizações corrijam estas vulnerabilidades. Caso não tenha atualização, desinstale esta extensão imediatamente para não comprometer seu site.
Existe uma lista de extensões vulneráveis, a qual está sendo constantemente atualizada, no site oficial do Joomla e no Fórum, as quais podem ser acessadas nos links abaixo:

Mudar o Prefixo da base de dados

Por padrão, ao se instalar o Joomla, o prefixo da base de dados será jos_. A maioria dos arquivos “hackers” escritos para comprometer um site Joomla, tentam adquirir informações da tabela jos_users. E, desta maneira, podem adquirir a password (senha) e username (nome de usuário) do administrador do website. Mudar o nome do prefixo para algo aleatório ajudará a impedir a maioria dos ataques “hackers”.

O prefixo pode ser escolhido no momento da instalação de um site Joomla mudando o prefixo padrão de jos_ para um que lhe for mais conveniente.

Se você já instalou seu site Joomla e não atentou para a mudança deste prefixo, recomendo que faça esta mudança para aumentar a segurança do seu Joomla.

Utilizar um componente SEF

De que forma os “hackers” decidem atacar o seu site? O método habitual é simples de explicar. Eles descobrem, por exemplo, que uma determinada versão de uma extensão está vulnerável, bem como a forma de explorar essa mesma vulnerabilidade. Depois procuram no Google por meio do comando inurl, a assinatura dessa extensão. O resultado é uma lista de sites vulneráveis, e se o seu site estiver nessa lista, adivinhe o que vai acontecer ?

Utilize um componente SEF (Eearch Engine Friendly) de modo a reescrever a sua url. Assim, o seu site não aparecerá mais naquelas listas e você terá mais sucesso nas pesquisas que lhe interessam dado que o seu site ficará mais otimizado para o Google

Abaixo você vai encontrar uma lista de plugins úteis que irá ajudá-lo a proteger seu site Joomla de invasões externas Claro que estes plugins não vão garantir 100% de proteção e talvez você nunca tenha esses problemas , mas melhor previnir do que remediar.

1. jHackGuard – Joomla Security Plugin
jHackGuard é desenvolvido pela SiteGround para proteger seu site contra ataques hacker. Fique também prevenido contra a maioria de ataques de injeção SQL, Inclusão Remota de URL/Arquivo, Execução de Código Remoto e ataques de XSS!

2. Akeeba Backup
O sucessor do famoso componente JoomlaPack . Em poucas palavras, Akeeba Core Backup é um componente de backup de código aberto para o Joomla , um pouco diferente do que seus concorrentes. Sua missão é simples : criar um backup do site que pode ser restaurado em qualquer servidor com capacidade Joomla ! . Suas possibilidades : infinitas . Ele cria um backup completo do seu site em um único arquivo .

3. EGuard
Esta é uma simples extensão que te ajudara a ter mais segurança em seu site . O login de administrador será protegido por um código de segurança. Caso contrário, você pode definir uma lista negra para o seu site e bloquear o sistema de BOT para acessar seu site .

4. Admin Tools
Admin Tools é um verdadeiro canivete suíço para o seu site . Corrigir seus arquivos e diretórios com as devidas’ permissões , proteger seu diretório de administrador com uma senha, alterar o seu prefixo de banco de dados, definir um seguro Super Administrador ID , migrar links apontando para seu antigo domínio on-the – fly e executar manutenção de banco de dados , todos com um único clique .

5. CD Login Confirmation
Um componente simples e eficaz , que acrescenta uma camada adicional de segurança para o back-end . Este componente envia para o seu endereço de e-mail ( após o login com sucesso ) uma mensagem de confirmação com o código de segurança. A administração está bloqueado até que você digite o código.

6. Anti-Hacker
É um componente de segurança que ajuda a reduzir o risco de seu site que está sendo hackeado , segurança de dados privados , proteção de seus arquivos de sistema contra códigos maliciosos e ataques , e principalmente aumentar a segurança do site .

7. EasyCalcCheck PLUS
Poteja seu site e extensões. Integração com as seguintes extensões: ALFContact, AlphaRegistration, CBE, Community Builder, DFContact, Easybook Reloaded, Flexi Contact, Job Board, JomSocial, Kunena Forum, Phoca Guestbook, QContacts und Virtuemart

8. Security Images

9. Backend Token
Esse plugin protege o diretório /administrator/ folder for convidados indesejados. Faz tambem verificação de token atraves das solicitações http. Se o token não condiz com o cadastro, o acesso não é permitido.

10. EasyCalcCheck PLUS
Protega seus diretorios de instalação contra acesso não-autorizado, formulários de contato contra spam e aumente a segurança de suas extensões: ALFContact, AlphaRegistration, CBE, Community Builder, DFContact, Easybook Reloaded, Flexi Contact, Job Board, JomSocial, Kunena Forum, Phoca Guestbook, QContacts und Virtuemart

11. Security Images
Se livre de spams colocando captcha em seus formulários de contato.

12. kSecure
Plugin que adiciona uma camada extra de proteção para o seu site . Por qualquer padrão pode acessar a pasta / administrator e ver que você está executando o Joomla . Com esse plugin, ele protege essa pasta de acesso não autorizado.

13. jomDefender
Protege seu site contra invasões diversas.

O CMS Joomla é um aplicativo seguro, porém, dentro do escopo de Webdesign ele é apenas a ponta de um iceberg composto de Sistema Operacional (GNU/LINUX), Servidor Web (APACHE), Gerenciador de Banco de Dados (MYSQL) e Linguagem de Programação (PHP). Resumindo, o provedor de hospedagem e o profissional que irá desenvolver o projeto, são fatores externos que podem contribuir com o comprometimento ou melhoria da sua segurança.

Fonte: phpmania.org

Compartilhe com os Amigos:

Tags:, , ,
Publicado em Segurança Online | Nenhum comentário »