Proteja seu Blog: siga as humildes dicas!

Muitos Blogueiros ou donos de Portais passam horas na frente dos computadores postando sobre diversas áreas, dedicando realmente grande parte do seu tempo diário nesta atividade. Já imaginou se algum dia aparece aquela conhecida mensagem: “Site Hackeado”? Seria bom os donos de Blogs e Portais pensarem sobre isso antes, para não terem dor de cabeça no futuro, mas pensar nisso como? Digo pensar no sentido de prevenção, como posso evitar isso, aquilo, e por aí vai… É claro que não existe uma fórmula para evitar esses perigos por completo, pois os defacer´s (descofiguradores) estão cada vez melhores e com técnicas novas. Então vamos ser humildes e tentar evitar, por agora, algumas.

Primeiro, vamos a algumas falhas já manjadas em blogs e portais:

Muitos blogs e portais que usam parâmetros como include ou fopen devem usá-los com cuidado em seus códigos php, já que muitos defacer´s exploram esses parâmetros para ter controle sobre o seu site. As versões mais antigas do WordPress usavam esses parâmetros que eram explorados pelos defacer´s, mas esse bug já foi corrigido e tratado pela equipe do WordPress. No entanto, não posso dizer o mesmo sobre alguns Plugins criados para o WordPress, uma vez que são disponibilizados por diversas pessoas no mundo, podendo deixar falhas dessa natureza e outras, ou até mesmo versões modificadas intencionalmente, que são achadas no emule ou em alguns sites. Em vários casos estas versões desatualizada ou modificadas podem abrir brechas e até mesmo enviar informações do seu banco de dados, excluí-lo, dar acesso ao root, senhas, etc..

Outra falha que li ha um tempo atrás se refere à Vulnerabilidade de XSS (Cross-site scripting) em alguns Themes de WordPress. Aqui os defacer´s criam um Script malicioso e o enviam usando a técnica XSS, aproveitando-se da falha existente no tema padrão do WordPress e outros temas derivados do padrão, como: K2, Classic e Hiperminimalist. Assim, o script roubava o dados dos cookies, que podiam revelar dados dos usuários, ou mesmo de leitores do Blog. No entanto esse bug já foi reportado e corrigido na versão 2.1.3, cujo tema padrão ficava exposto a essa técnica, que é o theme mais usada pela grande maioria de usuários do WordPress.

Você pode verificar se seu blog permite o uso da técnica acima XSS, para isso, digite o seguinte código abaixo no endereço do seu navegador. Se aparecer um alerta em seu site, ele é vulnerável à técnica:

http://www.nomedoblog.com/index.php/”><script>alert(document.cookie)</script>

ou http://www.nomedoblog.com/index.php/”><script>alert()</script>

Caso apareça o alerta, faça o seguinte: vá ao diretório pelo ftp do seu theme (wp-content/themes/nomedotema/) e procure dentro dos arquivos sidebar.php e searchform.php pelo código:

action=”<?php echo $_SERVER['PHP_SELF'];? >”

Substitua o código acima por:

action=”<?php echo htmlspecialchars($_SERVER['PHP_SELF']);? >”

Obs: Mesmo se não aparecer um alerta na tela e você esteja com uma versão desatualizada, inferior a 2.1.4, verifique se não há essas entradas nos arquivos sidebar.php e searchform.php, substituindo-as acrescentando a função htmlspecialchars(), que evita esse tipo de ataque (XSS).

De uma olhada nesse vídeo, aonde um grigo explorar a Vulnerabilidade XSS para você entender com funciona: http://www.milw0rm.com/video/watch.php?id=26

Nesse vídeo, você ver o grigo explorarando o site usando a técnica XSS através de uma imagem ‘jpg’, onde ele criou um código e salvou com a extensão jpg, você pode notar também que no código ele chama outro imagem com a extensão .gif, ‘gif89a’, aonde esse tipo formato de imagem tem um falha de segurança que e explorada pelo defacer, e esse arquivo .jpg e colocado no profile do site como se fosse imagem, o código dentro do jpg ao roda chama o gif que por sua vez seqüestra é envia os dados do cookie do navegador dos visitantes, para outro servidor, onde ele facilmente manipulado! Essa técnica do vídeo, já foi muito explorada no wordpress em alguns plugins como o conhecido Gravatar, mas o bug já foi eliminado do mesmo.

Vamo sair um pouco dos bugs pois são infinitos.. e falar de outra coisa bastante comum que acontece com várias pessoas a terem seu site invadido e dados roubados no caso vamos supor o que mais acontece, que é uma pessoa que se passa por amigo na internet e lhe envia um arquivo através do e-mail, msn, etc…

Esses arquivos podem ser um keylogger, trojan ou diversos outro tipo de pragas, alguns até mesmo camuflados, com um conhecido programa chamando Joiner (juntado), que junta por exemplo: um jogo, uma animação ou uma proteção de tela, com o Trojan ou Keylogger, que são usados para capturar informações no computador da vitima. Com o trojan ele tem um controle maior, podendo capturar senhas armazenas nos cookies do Internet Explorer ou Mozilla, ou fazer download direto dos seus diretórios do computador, onde podem estar a sua senha da sua hospedagem, domínio, ftp, etc… Já o Keylogger pode enviar de tempo em tempo tudo o que você digita no computador, por e-mail, ou direto para o invasor.

Enfim vamos às dicas, nessa ordem:

Parâmetro: Jamais passe o nome do arquivo como um parâmetro para Fopen ou Include. Vou dar um exemplo para ficar mais claro como seria isso: http://www.site.net/mail/index.php?inc=mail

Programação: Explore afundo a programação do seu Blog, procure por falhas e as elimine. Se não tem conhecimento em php, peça ajuda a alguém com mais entendimento.

WordPress: Sempre pegue a versão mais atualizada no site do WordPress, para corrigir os bugs novos encontrados, como os bugs citado acima e outros.

Plugins: Sempre cheque se não há versão mais nova. Nunca pegue plugins, themes ou WordPress em compartilhadores de arquivos, como Emule e outros. Sempre baixe-os direto do site oficial. Prefira plugins já conhecidos e caso não seja conhecido, dê uma boa examinada no código!

Themes: Siga as mesmas dicas dadas para os Plugins. Verifique se seu o Theme não foi atacado por uma nova técnica no WordPress conhecida como ‘BlackHats’, que consiste em alterar um Theme, colocando anúncios pornô, cassino, inserindo links para aumentar o pagerank, ou até mesmo usando seu blog como spam em comentários e trackbacks. Tome cuidado, dê preferência a Themes conhecidos e peque-os nos sites dos seus criadores.

Computador: Proteja-o contra Trojans, Keyloggers, e outros: Use antivírus, como o ‘Kaspersky’, Mcafee ou o Nod32. Sempre use também um bom firewall, como o Comodo ou o Zone Alarm. Os que citei são os melhores da atualidade para proteger e evitar esses ataques que crescem cada vez mais. Você não vai querer dados do seu site ou do seu cartão de crédito na mão de outra pessoal, é claro… Sempre mantenha seu firewall e antivírus atualizados, a cada dia são criados novos tipos de ameaças.

Limpeza: Sempre limpe o cache do seu navegador. Elimine cookies, arquivos temporários, dados de formulários, e nunca salve senha no navegador. Sempre prefira digitar, não seja preguiçoso! Desmarque no seu navegador, caso seja o IE: Ferramentas > Opções de Internet > Preenchimento Automático > (‘Nome de usuário e senhas em formulário’) e no Mozilla Firefox: Ferramenta > Opções > Segurança > (‘Memorizar senhas de Sites’). Um macete no Mozilla Firefox é ir em: Ferramenta > Opções > Privacidade > Limpar Dados Pessoais ao Sair do Firefox, depois ao lado clique em Configurar e marque todas opções e clique em OK 2 vezes, para fechar a configuração e aplica-la. Agora, toda vez que você sair do Mozilla Firefox aparecerá um alerta escrito Limpar Dados Pessoais. Clique nela, assim você dificulta um pouco mais o roubo de informações da sua máquina.

Diretório: Não deixe nada no diretório do seu site visível pelo navegador e robots. Se for necessário deixar, proteja esse diretório com senha, ou coloque nofolow para o robot não seguir, ja vi um caso de um amigo meu deixar um arquivo zip de backup de todo seu blog no diretório plugins com o arquivo wp-config.php dentro do zip, aonde e nesse arquivo que fica armazenado o user, nome e senha do bd.

Backup: Faça sempre Backup do seu Blog ou Portal e salve em seu computador. Caso use WordPress, recomendo usar o seguinte Plugin: WordPress Database Backup, que é bem útil para salvar seu Banco de Dados. De preferência, a fazer backup mensalmente, caso post muito vezes em seu blog, e tenha sempre uma cópia do seu theme caso tenha feito.

Espero que tenha sido útil!

Referências:

http://br.php.net/include/

http://br.php.net/fopen/

http://codex.wordpress.org/Include_Tags

http://pilkster.com/the-blackhats-are-coming/

http://seclists.org/bugtraq/2007/May/0011.html

http://michaeldaw.org/md-hacks/wordpress-persistent-xss

http://vomicae.net/