All posts by manasses

Manassés Marchezi - Suporte Gerenciado e entusiasta por minha família :D

10 exemplos de segurança essenciais

24 de março de 2016
Leave a comment
blog, Sem categoria

1. Mantenha o software atualizado

Pode parecer óbvio, mas garantindo-lhe manter todos os softwares atualizados é vital para manter seu site seguro. Isso se aplica tanto sistema operacional do servidor ou a qualquer software que pode ser executado em seu site como um CMS ou fórum. Quando as falhas de segurança são encontradas em software, os hackers são rápidos para tentar abusar deles.

Se você estiver usando uma solução de hospedagem gerenciada, então você não precisa se preocupar muito sobre a aplicação de atualizações de segurança para o sistema operacional, pois a empresa de hospedagem deve tomar cuidado com isso.

Se você estiver usando software de terceiros em seu site como um CMS ou fórum, você deve garantir que você é rápido para aplicar os patches de segurança. A maioria dos fornecedores tem uma lista de discussão ou RSS feed detalhando os problemas de segurança. WordPress, Umbraco e muitos outros CMS notificá-lo sobre atualizações de sistema disponíveis quando você fizer login.

2. Injeção de SQL

Ataques de injeção de SQL são quando um invasor usa um campo de formulário web ou parâmetro URL para ter acesso ao seu banco de dados. Quando você usa Transact SQL padrão é fácil, sem saber, insira o código não autorizado em sua consulta que pode ser usado para alterar tabelas, obter informações e excluir dados. Você pode evitar isso facilmente sempre usando consultas parametrizadas, a maioria das linguagens web tem esse recurso e é fácil de programar.

Considere esta consulta:

• “SELECT * FROM table WHERE column = ‘” + parameter + “‘;”
Se um atacante mudou o parâmetro de URL para passar no ‘ou ‘1’ = ‘1’ isso fará com que a consulta fique como esta:

• “SELECT * FROM table WHERE column = ” OR ‘1’=’1′;”
Desde ‘1’ é igual a ‘1’ isto iria permitir que o invasor pudesse adicionar uma consulta adicional para o final da instrução SQL que também será executada.

3. XSS

Cross Site Scripting é quando um atacante tenta passar em Java Script ou código de script em um formulário web para tentar executar o código malicioso para os visitantes de seu site. Ao criar um formulário sempre garanta que você verificou os dados que estão sendo apresentados.

4. As mensagens de erro

Tenha cuidado com a quantidade de informação que você se transmite de suas mensagens de erro. Por exemplo, se você tem um formulário de login em seu site, você deve pensar sobre a linguagem que você usa para se comunicar, falha ao tentar logins. Você deve usar mensagens genéricas como “nome de usuário ou senha incorreta”, como não especificar quando um usuário tem metade do direito de consulta. Se um atacante tenta um ataque de força bruta para obter um nome de usuário e senha e dá a mensagem de erro de distância quando uns dos campos estão corretos, então o atacante sabe que tem um dos campos e pode concentrar-se em outro campo.

5. Servidor formulário de validação

A validação deve sempre ser feita tanto no browser quanto no servidor. O navegador pode pegar falhas simples, como campos obrigatórios que estão vazios e quando você coloca em um texto apenas números de campo. Estes podem, contudo, ser ignorados, e você deve ter certeza de verificar essas validações de um lado mais profundo do servidor de validação como não fazê-lo pode levar a um código malicioso ou código de script a ser inserido no banco de dados ou poderão levar a resultados indesejáveis em seu site.

6. Senhas

Todo mundo sabe que devem usar senhas complexas, mas isso não significa que sempre fazem. É fundamental usar senhas fortes para o servidor e área administrativa do site, mas também igualmente importante insistir sobre as práticas de boa senha para seus usuários para proteger a segurança de suas contas.

Por mais que os usuários podem não gostar, faça cumprir os requisitos de senha, como um mínimo de cerca de oito caracteres, incluindo uma letra maiúscula e número vai ajudar a proteger suas informações em longo prazo.

Passwords devem sempre ser armazenadas como valores codificados, utilizando de preferência um algoritmo de hashing maneira como SHA. Usando este método significa que quando você estiver autenticando usuários você está apenas comparando valores criptografados. Para maior segurança, é uma boa ideia para salgar as senhas, usando um novo sal por senha.

No caso de alguém invadir e roubar suas senhas, usando senhas hash poderia ajudar a limitar os danos, como descriptografar as senhas não é possível. O melhor que alguém pode fazer é um ataque de dicionário ou força bruta de ataque, essencialmente adivinhando cada combinação até encontrar uma partida. Ao usar senhas salgadas o processo de craqueamento ou um grande número de senhas é ainda mais lento a cada palpite, tem que ser hash separadamente para cada sal + senha que é computacionalmente muito caro.

Felizmente, muitos CMSes fornecem gerenciamento de usuários fora da caixa com um monte desses recursos de segurança integrada, embora alguns módulos extras de configuração ou podem ser obrigado a usar senhas salgados (pré Drupal 7) ou para definir a força mínima da senha. Se você está usando .NET, então vale a pena usar provedores de associação, como eles são muito configurável, proporcionam segurança embutida e incluem controles prontos para login e redefinição de senha.

7. Upload de arquivos

Permitindo aos usuários fazer upload de arquivos para o seu site pode ser um grande risco de segurança, mesmo que seja simplesmente para mudar o seu avatar. O risco é que qualquer arquivo enviado por mais inocente que possa parecer, pode conter um script que, quando executado em seu servidor abre seu site completamente.

Se você tem um arquivo de formulário de upload, então você precisa tratar todos os arquivos com grande suspeita. Se você está permitindo que usuários façam upload de imagens, você não pode confiar na extensão do arquivo ou o tipo MIME (Multipurpose Internet Mail Extensions) para verificar se o arquivo é uma imagem como estes podem ser facilmente falsificado. Mesmo abrindo o arquivo e ler o cabeçalho, ou utilizar funções para verificar o tamanho da imagem não são a prova completa. A maioria dos formatos de imagens permite armazenar uma secção de comentários que podem conter um código PHP que pode ser executado pelo servidor.

Então, o que você pode fazer para evitar isso? Finalmente você quer impedir que os usuários sejam capazes de executar qualquer arquivo que carregar. Por servidores web padrão não tentaram executar arquivos com extensões de imagem, mas não é recomendado para confiar unicamente em verificar a extensão do arquivo como um arquivo com o nome image.jpg.php tem sido conhecida a passar.

Algumas opções são para renomear o arquivo no upload para garantir a extensão de arquivo correta, ou para alterar as permissões do arquivo, por exemplo, chmod 0666 de modo que não pode ser executado. Se usar *nix você pode criar uma. Htaccess. (veja abaixo) que só vai permitir o acesso para definir arquivos que impedem o ataque de extensão dupla mencionado anteriormente.

• deny from all
• <Files ~ “^\w+\.(gif|jpe?g|png)$”>
• order deny,allow
• allow from all
• </Files>

Em última análise, a solução recomendada é para impedir o acesso direto aos arquivos enviados todos juntos. Desta forma, todos os arquivos enviados para o seu site são armazenadas em uma pasta fora do webroot ou no banco de dados como uma bolha. Se os seus arquivos não são acessíveis diretamente você terá que criar um script para buscar os arquivos da pasta particular (ou um manipulador HTTP no .NET) e entregá-los para o navegador. Tags de imagem apoiar um atributo src que não é um URL direto para uma imagem, para que o seu atributo src pode apontar para o roteiro de entrega de arquivo contanto que defina o tipo correto de conteúdo no cabeçalho HTTP. Por exemplo:

• <img src=”/imageDelivery.php?id=1234″ />

• <?php
• // imageDelivery.php

• // Fetch image filename from database based on $_GET[“id”]
• …

• // Deliver image to browser
• Header(‘Content-Type: image/gif’);
• readfile(‘images/’.$fileName);

• ?>

8. Segurança do servidor

A maioria dos provedores de hospedagem lidam com a configuração do servidor para você, mas se você está hospedando seu site no seu próprio servidor, então há algumas coisas que você vai querer verificar.

Verifique se você tem uma configuração de firewall, e estão a bloquear todas as portas não essenciais. Se possível criar uma DMZ (zona desmilitarizada), apenas permitindo o acesso à porta 80 e 443 do mundo exterior. Embora isto possa não ser possível se você não tem acesso ao seu servidor a partir de uma rede interna, como seria necessário para abrir portas para permitir o upload de arquivos e acessar remotamente no servidor através de SSH ou RDP.

Se você está permitindo que arquivos sejam enviados a partir da Internet só usando métodos de transporte seguras para o seu servidor, tais como SFTP ou SSH.

Se possível ter seu banco de dados rodando em um servidor diferente do seu servidor web. Fazer isso significa que o servidor de banco de dados não podem ser acessados diretamente do mundo exterior, apenas o seu servidor web pode acessá-lo, minimizando o risco de os seus dados serem expostos.

Finalmente, não se esqueça de restringir o acesso físico ao seu servidor.

9. SSL

SSL é um protocolo utilizado para garantir a segurança através da Internet. É uma boa ideia usar um certificado de segurança sempre que você está passando informações pessoais entre o site e o servidor web ou banco de dados. Os atacantes poderiam farejar por esta informação e se o meio de comunicação não é seguro poderia capturá-lo e usar esta informação para obter acesso a contas de usuários e dados pessoais.

10. Ferramentas de segurança

Uma vez que você acha que tem feito todo o possível para proteger o seu site, então é hora de testar a sua segurança. A maneira mais eficaz de fazer isso é através do uso de algumas ferramentas de segurança, muitas vezes referida como teste de penetração ou de teste da caneta para breve.

Há muitos produtos comerciais e livres para ajudá-lo com isso. Eles funcionam de forma semelhante aos scripts hackers usará em que eles testam todos sabemos façanhas e tentativa de comprometer o seu site usando alguns dos métodos anteriores mencionados, tais como injeção de SQL.

Algumas ferramentas gratuitas que valem a pena olhar:

• Nets Parker (Community Edition gratuita e versão de teste disponível). Bom para testar injeção de SQL e XSS
• OpenVAS. Afirma ser o mais avançado scanner de segurança de código aberto. Bom para testar vulnerabilidades conhecidas, atualmente verifica mais de 25.000. Mas pode ser difícil de configurar e requer um servidor OpenVAS para ser instalado, que só funciona em *nix. OpenVAS é forquilha de um Nessus antes de se tornar um produto de código fechado comercial.

Os resultados de testes automatizados pode ser assustador, uma vez que apresentam uma riqueza de problemas potenciais. O importante é se concentrar nas questões críticas em primeiro lugar. Cada problema relatado normalmente vem com uma boa explicação da vulnerabilidade potencial. Você provavelmente vai achar que algumas das questões de médio / baixo não são umas preocupações para o seu site.

Se você deseja levar as coisas um passo adiante, então há mais alguns passos que você pode tomar para tentar comprometer manualmente seu site, alterando POST / GET valores. Um Proxy de depuração pode ajudá-lo aqui, pois permite interceptar os valores de uma solicitação HTTP entre o navegador e o servidor. A aplicação freeware popular chamada Fiddler é um bom ponto de partida.

Então, o que você deve estar tentando alterar a pedido? Se você tem páginas que só deve ser visível para um usuário conectado. Então gostaria de tentar mudar parâmetros de URL, como a identificação do usuário, ou valores de cookie na tentativa de ver os detalhes de outro usuário. Outra área que vale a pena testar são formas, mudando os valores POST para tentar enviar o código para executar XSS ou fazer upload de um script do lado do servidor.

Esperamos que estas dicas possam ajudar a manter o site e informações de segurança. Felizmente a maioria dos CMS tem um monte de recursos de segurança embutido, mas é ainda uma boa ideia de ter conhecimento das falhas de segurança mais comuns que você pode garantir que você está coberto.

Há também alguns módulos úteis disponíveis para CMS para verificar sua instalação para falhas de segurança comuns, tais como Security Review para Drupal e WP Security Scan para WordPress.

Tagged

Transferir / copiar arquivos via SCP

24 de março de 2016
Leave a comment
blog, Suporte

SCP é um protocolo que permite copiar arquivos entre um servidor SSH e uma máquina local. Para funcionar o comando scp é necessário que já tenha configurado uma conexão SSH com um servidor remoto, feito isso, veja os exemplos na prática abaixo:

Copiando um arquivo remoto para máquina local:
scp user@domain:/pasta-remota/arquivo-remoto.txt /pasta-local/arquivo-local.txt
Enviando um arquivo local para um servidor remoto:
scp /pasta-local/arquivo-local.txt user@domain:/pasta-remota/arquivo-remoto.txt
Copiando pastas e subpastas do servidor remoto para máquina local:
scp -r user@domain:/pasta-remota/ /pasta-local/
Enviando pastas e subpastas da máquina local para o servidor remoto:
scp -r /pasta-local/ user@domain:/pasta-remota/

Tagged

Erro ao Enviar Formulário CGI 1.6 SendMail

24 de março de 2016
Leave a comment
blog, Suporte
Alguém já se deparou com esse problema abaixo ao enviar um formulário que esteja em CGI 1.6 sendmail ?
Error No email was sent due to an error.
500 sendmail exit 1 with error message
There was an error setting uids: 1 (Operation not permitted)cgiemail 1.6 

Pois é , o problema e simples de resolver, só entrar no SSH e executar o script abaixo como ROOT.

 

chmod 4775 /usr/local/cpanel/bin/sendmail

 

Pronto. Formulários funcionando com Sucesso.

Tagged

Comandos SSH com ênfase em WMH/Cpanel – CentOS

24 de março de 2016
Leave a comment
blog, Suporte

Se você, como eu já se deparou em um beco sem saída, se tratando de administração de WHM/cPanel, onde não tinha menor ideia de onde encontrar certos comandos, para certos serviços, aqui vai uma lista recheada de comandos onde você encontrar seu alívio imediato.

Todos estão dentro da pasta de scripts do software cPanel (em geral, /scripts/)

  • Em negrito estão os scripts que podem ser utilizados por usuários menos experientes;
  • Scripts sem negritos e que fazem parte de outro sistema podem causar danos ao serem executados separadamente do script que os inicializa;
  • Os scripts sem explicação logo serão atualizados;
  • Detalhes em inglês logo serão traduzidos;

Scripts:

  1. adddns – Adiciona uma faixa de DNS;
  2. addfpmail – Adiciona o frontpage mail extension a todas os domínios que não tenham;
  3. addfpmail2 – Equivalente ao addfpmail;
  4. addnetmaskips – Adiciona um netmask a todos os IPs que não possuem um netmask;
  5. addnobodygrp – Adiciona ao grupo nobody (sem dono, neste caso) e ativa o modo seguro;
  6. addpop – Adiciona uma conta POP;
  7. addservlets – Adiciona suporte JSP a uma conta (requerimento: servidor tomcat rodando);
  8. addstatus – Adicionar um usuário que possa verificar o status interno (status do servidor);
  9. adduser – Adiciona um usuário ao sistema;
  10. admin – Executa o WHM Lite;
  11. apachelimits – Adiciona limites ao apache;
  12. bandwidth –
  13. betaexim – Instala a última versão do Exim, mas cuidado pois, se houver um beta, ele será instalado;
  14. biglogcheck – Verifica se existem logs com mais de 2GB de espaço físico;
  15. bitstest –
  16. bsdcryptoinstall –  Instala o Crypto Framework; > Exclusivo para servidor FreeBSD!
  17. bsdldconfig – Configura diretórios apropriados para as bibliotecas do FreeBSD; > Exclusivo para servidor FreeBSD!
  18. bsdpkgpingtest – Testa a taxa de download dos pacotes do FreeBSD; > Exclusivo para servidor FreeBSD!
  19. buildbsdexpect – Instala sistema de espera; > Exclusivo para servidor FreeBSD!
  20. builddomainaddr –
  21. buildeximconf – Recria o arquivo de configuração do Exim “exim.conf”;
  22. buildpostgrebsd-dev – Instala o serviço “postgresql”; > Exclusivo para servidor FreeBSD!
  23. buildpureftproot –
  24. bupcp –
  25. chcpass – Script de uso interno do software cPanel; > Não deve ser executado, a menos que você saiba o que está fazendo!
  26. checkallowoverride –
  27. checkbadconf – Verifica o arquivo “/usr/local/apache/conf/httpd.conf” em busca de usuários com problemas;
  28. checkbashshell –
  29. checkbsdgroups – Verifica e corrige problemas com os usuários privilegiados do proftpd; > Exclusivo para servidor FreeBSD!
  30. checkccompiler – Verifica se o compilador C do servidor está funcionando sem problemas;
  31. checkdeadperlso –
  32. checkerrorlogsafe –
  33. checkfpkey – Verifica a SUID key do FrontPage extension;
  34. checkgd – Verifica se o GD está operando normalmente;
  35. checkgentoousers –
  36. checkhttpd –
  37. checkinfopages – Verifica se as páginas suspensas estão com as devidas propriedades;> Equivalente ao comando checksuspendedpages;
  38. checkinterchange – Não deve ser executado, a menos que você saiba o que está fazendo!
  39. checklibssl – Verifica se o libssl está operando normalmente para garantir o bom funcionamento dos links simbólicos;
  40. checklink – Verifica se os links do sistema contém um destino real;
  41. checklog –
  42. checkmakeconf –
  43. checkmaxclients – Verifique se o Apache atingiu o máximo de conexões simultâneas permitidas;
  44. checkoldperl – Verifica se a versão do seu Perl é antiga;
  45. checkoldrpm –
  46. checkrsync – Verifica se o rsync está atualizado;
  47. checksuexecpatch – Verifica se o serviço mailman está corretamente relacionado ao suexec;
  48. checksuspendpages – Verifica se as páginas suspensas estão com as devidas propriedades;> Equivalente ao comando checkinfopages;
  49. checkswup –
  50. checkup2date – Verifica se o up2date está devidamente configurado; > Exclusivo para servidores RedHat;
  51. checkyum – Verifica se o yum está configurado corretamente; > Exclusivo para servidores que usam pacotes RPM;
  52. chkpaths – Verifica se /usr/sbin/chown está corretamente indicado para /bin/chown;
  53. chownpublichtmls – Change ownership of all users web space to them, which is useful for converting to suexec. Files owned by nobody are deleted.
  54. chpass – Troca de senha;
  55. ckillall – Allows you to kill a process (used like killall).
  56. ckillall2 – Allows you to kill a process.
  57. cleanandmailformmaillog –
  58. cleanbw – Remove logs antigos sobre bandwidth;
  59. cleandns –
  60. cleandns8 – Limpa os DNSs do arquivo “named.conf”;
  61. cleangd – Limpa a instalação antiga do GD e instala uma versão mais atualizada;
  62. cleanmd5 – Corrige problemas do cPanel com o MD5;
  63. cleanmsglog – Limpa os logs do Exim;
  64. cleanopenwebmail –
  65. cleanupcheck –
  66. cleanupmysqlprivs – Limpa os privilégios impróprios dados ao MySQL;
  67. compilers – Desabilita o uso de compiladores para usuários sem privilégios para executá-los;
  68. configips –
  69. *.cgi – Não deve ser executado, a menos que você saiba o que está fazendo!
  70. *.c -Não deve ser executado, a menos que você saiba o que está fazendo!
  71. convert2maildir – Converts mail from mbox to maildir format and installs courier impap and pop (cpimap is removed).
  72. convertemails – Não deve ser executado, a menos que você saiba o que está fazendo!
  73. convertemails2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  74. convertemails5 – Não deve ser executado, a menos que você saiba o que está fazendo!
  75. courierup – Updates/Installs Courier
  76. cpanelsync –
  77. cpbackup – Runs backups.
  78. cpbackup2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  79. cptheme – (NOT USED)
  80. dialog* – (NOT USED)
  81. distupgrade – Upgrades RedHat to the newest version (for testing only)
  82. dnscluster – Enables DNS clustering.
  83. dnsqueuecron – Adds a cron job to dump the DNS queue.
  84. dns_setup – (OLD)
  85. dnstransfer – Only if the server has a DNS master (sync with DNS master).
  86. doomhttpd –
  87. dotbuffer – Não deve ser executado, a menos que você saiba o que está fazendo!
  88. downgradefp – Downgrades FrontPage Extensions (to 5.0-0)
  89. dropmysqldb – Derruba um banco de dados MySQL;
  90. easyapache – Atualização a versão do Apache (upgrade);
  91. editquota – Altera a quota dos usuários;
  92. enablechkservdwebmail – Ativa o serviço de verificação do “webmaild”;
  93. enablefileprotect – Protege todos os arquivos dos diretórios “/home” se o Apache estiver sendo reinstalado;
  94. ensurepkg – Instala um pacote feito para FreeBSD;
  95. ensurerpm – Instala um pacote no formato RPM;
  96. ensurerpm2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  97. exchangeacctdb –
  98. exim3 – Instala o Exim v. 3;
  99. exim4 – Instala o Exim v. 4;
  100. exim4-rh73test – Instala o Exim de release número 260; Atenção recurso disponível somente para servidores RedHat;
  101. eximcron – Creates a cron job for exim_tidy_db.
  102. eximlocalsend – Ativa ou desativa o envio local de e-mails pelo Exim;
  103. exim_tidydb – Limpar o arquivo de log do Exim;
  104. eximup – Installs/Updates exim.
  105. eximup~ – Não deve ser executado, a menos que você saiba o que está fazendo!
  106. expectperlinstaller – Não deve ser executado, a menos que você saiba o que está fazendo!
  107. fetchfile – Não deve ser executado, a menos que você saiba o que está fazendo!
  108. fetchfpexec –
  109. fetchgd – Includes libg.so.
  110. finddev – Não deve ser executado, a menos que você saiba o que está fazendo!
  111. findhacks – Realiza uma busca pelos trojans mais comuns nos servidores;
  112. findoddrootprocesses – Lists root processes that may need to be checked out.
  113. findphpversion – Verifica se a versão utilizada do PHP é a mais atual;
  114. findtrojans – Faz uma busca profunda por trojans;
  115. fixadmin –
  116. fixallcartswithsuexec – Fixes permissions on carts when using suexec.
  117. fixallinterchangeperm – Fixes permissions on all users’ Interchange Shopping Carts.
  118. fixbinpath – Makes sure all bin file paths are correct.
  119. fixbuggynamed – Updates bind to solve any problems with bugs.
  120. fixcartwithsuexec – Pode ser usado para corrigir um problema com o suexec; Não deve ser executado, a menos que você saiba o que está fazendo!
  121. fixcgiwrap –
  122. fixcommonproblems – Verifica e corrige os problemas mais comuns relacionados ao cPanel vs servidor;
  123. fixetchosts – Fixes problems with /etc/hosts
  124. fixeverything – Fix common problems and quotas.
  125. fixfpwml – Fix for .wml errors with frontpage.
  126. fixheaders – Run if nothing compiles errors with .h files on compile.
  127. fixhome – (NOT USED) – Unsymlink items.
  128. fixinterchange – Reinstall interchange Perl modules.
  129. fixinterchangeperm – fix permissions on a user’s interchange cart.
  130. fixipsnm – Same as addnetmask ips, but Perl though.
  131. fixlibnet – Reinstall Bundle::libnet (Perl).
  132. fixlocalhostwithphp – Change /etc/hosts to work better with PHP 4.2.0 + MySQL.
  133. fixmailandakopia – (NOT USED)
  134. fixmailman – Atualiza e reinicia o serviço “mailman”;
  135. fixmailmanwithsuexec –
  136. fixmuse – Instala novamente a interface “muse”;
  137. fixmysql – Corrige problemas relacionados ao MySQL; Não deve ser usado em servidores FreeBSD!
  138. fixmysqlbsd – Corrige problemas relacionados ao MySQL; > Exclusivo para servidor FreeBSD!
  139. fixnamed – Atualiza o serviço “named” para utilizar mais de 512 faixas de IP;
  140. fixndc – Repair redhat’s broken named.conf on 7.2.
  141. fixndc.new – Não deve ser executado, a menos que você saiba o que está fazendo!
  142. fixoldlistswithsuexec – Run after enabling suexec on the server to change the URLs that Mailman gives out to ones that don’t give a 500 internal server error.
  143. fixperl – Corrige link simbólico de usr/local/bin/perl para /usr/bin/perl;
  144. fixperlscript – Verifica se todos os scripts Perl estão com os módulos relacionados instalados;
  145. fixpop – Corrige uma conta POP e recria a senha;
  146. fixproftpdconf – Corrige problemas relacionados ao arquivo de configuração do proftpd (/usr/local/etc/proftpd.conf);
  147. fixproftpdconf~ – Não deve ser executado, a menos que você saiba o que está fazendo!
  148. fixproftpddupes – Atualiza o “proftpd” para evitar ou corrigir dupes;
  149. fixquotas – Corrige problemas de quotas; > Usa muitos recursos do servidor! É recomendado utilizar em horários onde o tráfego do servidor é menos intenso.
  150. fixrelayd –
  151. fixrh72ndckey – Não deve ser executado, a menos que você saiba o que está fazendo!
  152. fixrndc – Fixes named.conf to prevent rndc staus failed.
  153. fixspamassassinfailedupdate – Instala novamente uma atualização do spamassassin que falhou;
  154. fixsubconf –
  155. fixsubdomainlogs – Corrige problemas relacionados aos relatórios de sub-domínios; Ideal para executar quando esses relatórios não aparecem no cPanel;
  156. fixsuexeccgiscripts – Corrige os problemas com scirpts CGI após a instalação do suexec;
  157. fixtrojans – (NOT USED)
  158. fixvaliases – Corrige permissões das valiases;
  159. fixwebalizer – Corrige problemas comuns com o Webalizer; > Ideal para executar quando o Webalizer para de atualizar; Importante: Esse fix apaga toda a base de dados da conta especificada;
  160. fixwebmail – (OLD)
  161. fixwwwdir – (OLD)
  162. fp3 – Updates the fpexe3 patch.
  163. fpanonuserpatch – Updates FrontPage extensions to include the anonymous user patch.
  164. fp-auth –
  165. fpbtr – (OLD)
  166. fpsuexec – Não deve ser executado, a menos que você saiba o que está fazendo!
  167. fpsuexec2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  168. fpsuexec3 – Não deve ser executado, a menos que você saiba o que está fazendo!
  169. fpupgrade – Não deve ser executado, a menos que você saiba o que está fazendo!
  170. ftpcheck – Checks for FTPSSL.
  171. ftpfetch – Não deve ser executado, a menos que você saiba o que está fazendo!
  172. ftpput – Não deve ser executado, a menos que você saiba o que está fazendo!
  173. ftpquaotacheck – Verifica as quotas de todos os usuários FTP;
  174. ftpsfetch – Não deve ser executado, a menos que você saiba o que está fazendo!
  175. ftpup – Atualiza o seu servidor FTP;
  176. ftpupdate – Não deve ser executado, a menos que você saiba o que está fazendo!
  177. fullhordereset – Resets Horde and displays the current Horde password.
  178. futexfix – Corrige problemas comuns com o futex;
  179. futexstartup – Inicia o furtex;
  180. gcc3 – Installs gcc-3.3.3
  181. gencrt – Generate a .crt and .csr file.
  182. gencrt2 – (NOT USED)
  183. gentomcatlist – Não deve ser executado, a menos que você saiba o que está fazendo!
  184. gentooportsup –
  185. gethomedir – Não deve ser executado, a menos que você saiba o que está fazendo!
  186. getpasswd – Não deve ser executado, a menos que você saiba o que está fazendo!
  187. getremotecpmove – Não deve ser executado, a menos que você saiba o que está fazendo!
  188. getrpmfor –
  189. grabemails – Não deve ser executado, a menos que você saiba o que está fazendo!
  190. grabhttp – Não deve ser executado, a menos que você saiba o que está fazendo!
  191. grabhttp2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  192. grabmysqlprivs – Não deve ser executado, a menos que você saiba o que está fazendo!
  193. grpck – Checks to see if grpck is working properly.
  194. hackcheck – Não deve ser executado, a menos que você saiba o que está fazendo!
  195. hdparmify – Enable dma/irq/32bit HD access, which speeds up IDE drives.
  196. hdparmon – Turns on hdparm.
  197. HTTPreq.pm – Não deve ser executado, a menos que você saiba o que está fazendo!
  198. httpspamdetect –
  199. icpanel – (OLD)
  200. initacls – Mounts your file systems with ACL support (make sure your kernel supports ACLs)
  201. initbyteslog – Não deve ser executado, a menos que você saiba o que está fazendo!
  202. initfpsuexec – Enable FrontPage suexec support.
  203. initquotas – Turn on quota support on new drives.
  204. initsslhttpd – Make sure HTTP starts with SSL.
  205. initsuexec – Turn on suexec support if suexec is installed.
  206. installaimicq – Não deve ser executado, a menos que você saiba o que está fazendo!
  207. installcgipm – Installs CGI.pm
  208. installcpbsdpkg –
  209. installcpgentoopkg –
  210. installdbi – Install Bundle::DBD::mysql.
  211. installfpfreebsd – Installs FrontPage 5 Extensions on FreeBSD.
  212. installfpgentoo – Installs FrontPage on Gentoo.
  213. installgd – Builds GD.
  214. installipc – Não deve ser executado, a menos que você saiba o que está fazendo!
  215. installpkg – Installs a FreeBSD package.
  216. installpostgres – Installs PostrgeSQL.
  217. installrmmods – (OLD)
  218. installrpm – Installs a rpm.
  219. installrpm2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  220. installspam – Install SpamAssassin.
  221. installssl – Add a SSL vhost.
  222. installtree –
  223. installzendopt – Install zend optimzer.
  224. installzendopt-freebsd – Install zend optimizer on a freebsd machine.
  225. ipcheck – Não deve ser executado, a menos que você saiba o que está fazendo!
  226. ipusage – Não deve ser executado, a menos que você saiba o que está fazendo!
  227. isdedicatedip – Checks an ip to see if it is dedicated.
  228. kernelcheck – Não deve ser executado, a menos que você saiba o que está fazendo!
  229. killacct – Delete an account.
  230. killbadrpms – Security script that kills insecure RPMs from the server.
  231. killdns – Delete a DNS zone.
  232. killdns-dnsadmin –
  233. killdrrootvhost – Removes the document root for a virtual host.
  234. killndbm – Remove the broken NDBM_File module from 7.2.
  235. killpvhost – Removes a virtual host from proftpd.conf.
  236. killspamkeys – Removes a spam key.
  237. killsslvhost – Removes a SSL entry for a virtual host.
  238. killvhost – Delete a vhost.
  239. listcheck – Checks mailing lists for issues.
  240. listproblems – Lists common problems.
  241. listsubdomains – List subdomains.
  242. mailadmin – (DEAD, OLD)
  243. maildirmenu – Não deve ser executado, a menos que você saiba o que está fazendo!
  244. mailman212 – Não deve ser executado, a menos que você saiba o que está fazendo!
  245. mailperm – Fix almost any mail permission problem.
  246. mailscannerupdate – Updates MailScanner
  247. mailtroubleshoot – Guided mail fix.
  248. makecpphp – Installs php.
  249. makesecondary – Part of DNS transfer.
  250. manualupcp – Updates cPanel manually.
  251. md5crypt – Encrypts a password into MD5.
  252. mkquotas – OLD
  253. mkwwwacctconf – Não deve ser executado, a menos que você saiba o que está fazendo!
  254. mrusersscpcmd –
  255. mseclocal – Sets up Mandrake’s msec to allow exim to run as mailnull.
  256. mysqladduserdb – Create a MySQL databse and user.
  257. mysqlconnectioncheck – Attempts to connect to MySQL, restarts SQL if necessary.
  258. mysqldeluserdb – Delete a MySQL database and user.
  259. mysqlinfo – (OLD)
  260. mysqlpasswd – Change MySQL password.
  261. mysqlrpmpingtest – Checks your connection speed for downloading mySQL rpms.
  262. mysqlup – Updates mySQL.
  263. mysqlup~ – Não deve ser executado, a menos que você saiba o que está fazendo!
  264. ndbmcheck – Checks to see if the nbdm module is loaded (kills in RedHat 7.2)
  265. netftpsslpatch – Patches FTPSSL.pm.
  266. newdomains – (OLD)
  267. newdomains-sendmail – (OLD)
  268. newexim – Installs the latest version of exim.
  269. newftpuser – (NOT USED)
  270. newpop – (NOT USED)
  271. nofsck – Make fsck always use -y
  272. nomodattach – Removes mod_attach from httpd.conf.
  273. nomodauthmysql -Removes mod_auth_mysql from httpd.conf.
  274. nomodbwprotect – Removes mod_bwportect from httpd.conf.
  275. nomodgzipconfmods – Removes mod_gzip from httpd.conf.
  276. nomodperl – Removes mod_perl from httpd.conf.
  277. oldaddoncgi2xaddon – Updates old addons to X addons.
  278. oldaddonconverter – Não deve ser executado, a menos que você saiba o que está fazendo!
  279. oopcheck – Não deve ser executado, a menos que você saiba o que está fazendo!
  280. park – Parks a domain.
  281. patcheximconf – Fixes exim.conf.
  282. patchposixtypes –
  283. patchtypes –
  284. patchtypesizes –
  285. pedquota – Acessório do editquota (usado para editar quota); Não deve ser executado, a menos que você saiba o que está fazendo!
  286. perlinstaller – Installs perl.
  287. phpini – Create a php.ini file.
  288. phpopenbasectl –
  289. pingtest – Checks your download time from cPanel mirrors.
  290. pkgacct – Não deve ser executado, a menos que você saiba o que está fazendo!
  291. pkgacct~ – Não deve ser executado, a menos que você saiba o que está fazendo!
  292. pkgacct2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  293. pkgaccount-ala – backs up an Alab*nza account for transfer.
  294. pkgacct-ciXost – backs up a ci*ost account for transfer.
  295. pkgacct-dXm – backs up a d*m account for transfer.
  296. pkgacct-enXim – backs up an en*im account for transfer.
  297. pkgacct-ng –
  298. pkgacctn-ng.orig –
  299. pkgacct-pXa – backs up a p*a account for transfer.
  300. popftpuse – (OLD)
  301. portsup – (FREEBSD BETA)
  302. postsuexecinstall – (INTERNAL)
  303. proftpd128 – Installs proftpd-1.2.8.
  304. pscan – (OLD)
  305. ptycheck – Fixes permissoins on /dev/ptmx.
  306. pwck -Verifies the integrity of system authentication information.
  307. quickfixmysqlbsd – (NOT USED)
  308. quickkernel – Updates your kernel.
  309. quicksecure – Quickly kill useless services.
  310. quotacheck – Não deve ser executado, a menos que você saiba o que está fazendo!
  311. rasetup – (OLD)
  312. rawchpass – Não deve ser executado, a menos que você saiba o que está fazendo!
  313. realadduser – Não deve ser executado, a menos que você saiba o que está fazendo!
  314. realchpass – Não deve ser executado, a menos que você saiba o que está fazendo!
  315. realperlinstaller – Não deve ser executado, a menos que você saiba o que está fazendo!
  316. realrawchpass – Não deve ser executado, a menos que você saiba o que está fazendo!
  317. rebuildcpanelsslcrt – Rebuilds the cPanel SSL Certificate.
  318. rebuildcpusers – Rebuilds /var/cpanel/users.
  319. rebuildetcpasswd – Rebuilds /etc/passwd.
  320. rebuildeximbsd – Rebuilds exim on FreeBSD.
  321. rebuildhttpdconffromproftpd – Rebuild httpd.conf from the proftpd.conf file.
  322. rebuildinterchangecfg – Used after moving a domain with Interchange to the server.
  323. rebuildippool – Não deve ser executado, a menos que você saiba o que está fazendo!
  324. rebuildnamedconf – Restore named.conf from files in /var/named.
  325. rebuildproftpd – Restore proftpd.conf from httpd.conf.
  326. reinstallmailman – Reinstalls mailman.
  327. relocatevartousr – Relocates files from /var to /usr in case of disk space issues.
  328. remdefssl – Remove default SSL vhost.
  329. reseteximtodefaults – Resets exim’s default settings.
  330. resethorde –
  331. resetimappasswds – Resets all imap passwords.
  332. resetmailmanurls –
  333. resetquotas – Change quotas to what they should be .
  334. restartsrv – Restart a service.
  335. restartsrv_apache – Reinicia o Apache;
  336. restartsrv_bind – Reinicia o serviço bind;
  337. restartsrv_clamd – Reinicia o serviço clamd;
  338. restartsrv_courier – Reinicia o serviço imap;
  339. restartsrv_cppop – Reinicia o serviço cppop;
  340. restartsrv_entropychat – Reinicia o serviço entropy chat;
  341. restartsrv_exim – Reinicia o serviço exim;
  342. restartsrv_eximstats – Reinicia as estatísticas do Exim;
  343. restartsrv_ftpserver – Reinicia o servidor FTP;
  344. restartsrv_ftpserver~ – (INTERNAL)
  345. restartsrv_httpd – Reinicia o serviço httpd;
  346. restartsrv_imap – Reinicia o serviço impad;
  347. restartsrv_inetd – Reinicia o serviço inetd;
  348. restartsrv_interchange – Reinicia o Interchange Shopping Cart;
  349. restartsrv_melange – Reinicia o serviço melange chat;
  350. restartsrv_mysql – Reinicia o serviço mysqld;
  351. restartsrv_named – Reinicia o serviço named;
  352. restartsrv_postgres – Reinicia o serviço postgres;
  353. restartsrv_postgresql – Reinicia o serviço postgresql;
  354. restartsrv_proftpd – Reinicia o serviço proftpd;
  355. restartsrv_pureftpd – Reinicia o serviço pure-ftpd;
  356. restartsrv_spamd – Reinicia o serviço spamd;
  357. restartsrv_sshd – Reinicia o serviço sshd;
  358. restartsrv_syslogd – Reinicia o serviço syslogd;
  359. restartsrv_tomcat – Reinicia o serviço tomcat;
  360. restartsrv_xinetd – Reinicia o serviço xinetd;
  361. restoremail – Recupera a caixa de e-mail de algum usuário (caso seja possível);
  362. restorepkg –
  363. reswhostmgr – Reinicia o serviço whostmgr;
  364. rhlupdate – (OLD)
  365. rpmpreinstall – (INTERNAL)
  366. rpmup – Faz atualização do gerenciador de pacotes RPM; > Exclusivo para servidores que utilizam pacotes RPM;
  367. rpmup2 – Não deve ser executado, a menos que você saiba o que está fazendo! > Exclusivo para servidores que utilizam pacotes RPM;
  368. rpmup3 – Não deve ser executado, a menos que você saiba o que está fazendo! > Exclusivo para servidores que utilizam pacotes RPM;
  369. rrdtoolinstall – Instala ferramenta RRD;
  370. rscpmd –
  371. runlogsnow – (OLD)
  372. runstatsonce – Atualiza as estatísticas (deve ser adicionado ao crontab para ser utilizado) dos geradores de relatório (analog, webalizer etc);
  373. runweblogs – Executa os geradores de relatório (analog, webalizer etc) para um determinado usuário;
  374. ruserssscpcmd – (INTERNAL)
  375. safeperlinstaller – Instala o serviço Perl em modo seguro;
  376. safeup2date – Executa o up2date em modo seguro;
  377. safeyum – Eexecuta o yum em modo seguro;
  378. scpcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
  379. searchbadgroups –
  380. searchreplace – (NOT USED)
  381. secureit – Remove binários SUID desnecessários ao sistema;
  382. securemysql – Realiza algumas alterações no MySQL para maior segurança;
  383. securetmp – Adiciona segurança extra para a pasta tmp na inicialização do servidor;
  384. selinux_custom_contexts –
  385. selinuxsetup –
  386. sendaim – Não deve ser executado, a menos que você saiba o que está fazendo!
  387. sendicq – Não deve ser executado, a menos que você saiba o que está fazendo!
  388. setupfp – Install FrontPage 3 on an account.
  389. setupfp4 – Install FrontPage 4 (2000) installer on an account.
  390. setupfp5 – Install FrontPage 5 (2002) installer on an account.
  391. setupfp5.nosueuxec – Install FrontPage 5 (2002) installer on an account when not using suexec.
  392. setupmakeconf –
  393. showexelist – Exibe lista de processos executáveis;
  394. simpleps – Exibe a lista de processos ativos;
  395. simplesshcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
  396. smartcheck – Verifica a integridade do hardware; Script pouco eficiente para detectar possíveis problemas;
  397. smtpmailgdionly – Habilita proteção extra para o SMTP;
  398. snarf – Não deve ser executado, a menos que você saiba o que está fazendo!
  399. spamasssassin-cpanel – (NOT USED)
  400. spamboxdisable – Desabilita a vaixa anti-SPAM (spambox) de todas as contas de e-mail do servidor;
  401. sscpcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
  402. ssh2.expect – Não deve ser executado, a menos que você saiba o que está fazendo!
  403. sshcmd –
  404. sshcontrol – Não deve ser executado, a menos que você saiba o que está fazendo!
  405. ssh.expect – Não deve ser executado, a menos que você saiba o que está fazendo!
  406. stage2fpmail – Não deve ser executado, a menos que você saiba o que está fazendo!
  407. supportvoidcheck –
  408. suspendacct – Suspende uma conta específica;
  409. symlinktodir – Não deve ser executado, a menos que você saiba o que está fazendo!
  410. sysup – Atualiza o sistema de gerenciamento de pacotes RPM do cPanel;
  411. telentcrt – (OLD)
  412. testinf – (OLD)
  413. trustme – Não deve ser executado, a menos que você saiba o que está fazendo!
  414. typocheck –
  415. uf – (OLD)
  416. unlimitnamed – Instala um patch para o servidor poder utilizar mais de 512 IPs;
  417. unblockip – Remove um IP bloqueado (IP que tenta acessar o servidor);
  418. unpkgacct – Não deve ser executado, a menos que você saiba o que está fazendo!
  419. unsetupfp4 – Remove o FrontPage 4 ou 5 de uma conta;
  420. unslavenamedconf – Reparar problema com o arquivo “named.conf”, no caso do DNS Master for colocado como local (a reparação possui um delay após ser requerida)
  421. unsuspendacct – Remove da suspensão uma conta específica;
  422. upcp – Atualiza o cPanel;
  423. updated – Verificase há atualização para os scripts (em geral, /scripts/) do cPanel;
  424. updatedomainips – Não deve ser executado, a menos que você saiba o que está fazendo!
  425. updatefrontpage – Atualiza o FrontPage extension;
  426. updatemysqlquota –
  427. updatenow – Atualiza os scripts (em geral, /scripts/) do cPanel (atualiza sem verificar, diferente do updated); Atenção: Utilize-o apenas se você sabe o que está fazendo, pois o cPanel já atualiza os scripts automaticamente e um problema pode ser gerado devido a diferença de atualizações do cPanel e dos scripts;
  428. updatephpconf – Atualiza os arquivos de configuração do PHP;
  429. updateuserdomains – Não deve ser executado, a menos que você saiba o que está fazendo!
  430. updateuserdomains2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  431. userdirctl –
  432. userps – (OLD)
  433. usersscpcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
  434. usersscpcmd1 – Não deve ser executado, a menos que você saiba o que está fazendo!
  435. usersshcmd – Não deve ser executado, a menos que você saiba o que está fazendo!
  436. verify – (OLD)
  437. verifyzone – Não deve ser executado, a menos que você saiba o que está fazendo!
  438. whichrpm – Não deve ser executado, a menos que você saiba o que está fazendo!
  439. whoowns – Descobre o proprietário de um domínio;
  440. whostmgrkey – (OLD)
  441. wwwacct – Cria uma conta;
  442. wwwacct2 – Não deve ser executado, a menos que você saiba o que está fazendo!
  443. x* – (OLD)
  444. xaddonreport – Cria um relatório dos scripts extras instalados (addon scripts);
  445. zoneexists – Não deve ser executado, a menos que você saiba o que está fazendo!

 

Abração pra todos. Boa sorte!

Tagged

Previna Ataques ao seu WordPress

24 de março de 2016
Leave a comment
blog, Segurança

Tenha em mente

Diminua os pontos de acesso, feche o maior numero de “portas” possíveis para que não seja apenas invadir, mas também, encontrar!

Se o sistema sofrer alguma invasão ou dano? Seja inteligente, faça com que as áreas invadidas sejam áreas insignificantes, com pouco conteúdo e/ou importância, assim, o estrago será sempre mínimo! E claro, seja cauteloso e cuidadoso: faça backups e monitoramentos regularmente. Em todas as situações virtuais, backups são muito bem vindos, pois qualquer arquivo ou sistema está sujeito à perda ou “crash”.

Claro que, todo esse esforço é em vão se suas maquinas são vulneráveis, spywares, malwares e outros vírus podem ser consideravelmente fatais. Procure um bom antivírus, pago ou não, que ofereça bons serviços e proteção. Mantenha seu sistema operacional e seus programas sempre atualizados, isso previne de que antigas aberturas, erros e bugs continuem disponíveis. Isso não só na sua máquina, mas também no WordPress, atualizações de segurança e melhorias estão constantemente sendo lançadas, além do fato de que você pode reportar qualquer falha de segurança ou bug, para que o suporte examine e corrija o que for necessário.

Vale lembrar que algumas vezes a segurança pode ser medida através das senhas que você usa. Procure usar termos, palavras que não façam o menos sentido para a sua área de atuação. Misturar os caracteres(letras E números) também é uma boa pedida, ainda mais se for entre as sílabas ou letras, criando situações inesperadas e inimagináveis!

Servidor Web

Outro ponto importante a ressaltar é a segurança e a qualidade do seu servidor, verifique a situação de seu servidor e as versões de seus softwares. Se estiver em um servidor compartilhado ao qual está enfrentando algum problema, as chances de seu site ser atingido são relevantemente altas, então vale a pena consultar seu provedor, para melhores informações.

Redes

Atenção a essa parte, pois muitas vezes passa despercebida! Já parou para analisar suas conexões? Hoje em dia é comum nos conectarmos a redes wifi de diversos estabelecimentos, isso torna tudo mais móvel, versátil e perigoso. Sim, perigoso! Claro que não vamos analisar todas as redes que usamos. Cafés, restaurantes, lojas, shoppings e lanhouses são lugares críticos para se trabalhar, afinal, a quantidade de dados e diferentes receptores que passam por esses locais diariamente é incontável. Procure trabalhar em redes confiáveis, da sua casa, seu trabalho, lugares que não sejam públicos.

FTP

Opte sempre por usar conexões criptografadas SFTP para acessar teu servidor, se seu provedor disponibilizar. O SFTP usa informações criptografadas para que sejam incompreensíveis e fora de chances de interceptações.

Permissão de Arquivos

Fique atento à questão das permissões dos arquivos, pois é uma grande brecha para invasores, então procure restringir ao máximo as permissões, e se for o caso de liberar, que seja por pouco tempo!

 

Modificando as permissões de arquivos

Se você tem acesso ao seu servidor, poderá alterar as permissões de arquivos recursivamente utilizando os comandos a seguir:

Para diretórios:

find /caminho/para/a/pasta/do/wordpress/ -type d -exec chmod 755 {} \;

Para arquivos:

find /caminho/para/a/pasta/do/wordpress/ -type f -exec chmod 644 {} \;

Banco de Dados

Uma boa dica é, no caso de vários sites no mesmo servidor, mante-los em bancos de dados diferentes, desse jeito o possível invasor não poderá alterar nem interferir nos outros sites! Se você usa o MySQL, esteja ciente de todas as funções, conheça a ferramenta, para que nada passe despercebido por você.

 

Proteção de senha no wp-admin!

Isso é bem interessante, pois é uma camada (inesperada, diga-se de passagem), a mais para o hacker ou bot romper, mas cuidado, habilitar essa função pode desabilitar algumas outras, fique atento.

 

Blindando o wp-includes

Essa outra “camada” de proteção é adicionada na área onde os scripts não podem ser acessados por nenhum usuário, então, usando o mod_rewrite para bloquear os scripts do  .htaccess, veja:

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress

 

Obs: RewriteRule ^wp-includes/[^/]+\.php$ – [F,L] evitaria que o arquivo ms-files.php gere imagens. Retirar esta linha permitirá o funcionamento, oferecendo um pouco menos de segurança.

 

Wp-config.php acima!

Você também pode mover o wp-config para uma pasta acima do diretório de instalação do WP, tornando-o assim, fora da área acessível! Mas lembre-se que é apenas um nível.

Se você usa .htaccess, poderá usar o código abaixo para bloquear quem estiver atras do wp-config:

<files wp-config.php>
order allow,deny
deny from all
</files>

Plugins

Primeiramente, mantenha seus plugins atualizados, e lembre-se de que se você não usa algum plugin, ele não precisa estar em seu WP, remova-o! Há plugins que ajudam na segurança, como firewall e etc, para evitar ataques e invasões. Vale a pena você pesquisar sobre e procurar algum que lhe agrade!

Mas não se engane, nem todo plugin é tão amigável quanto parece! Se um plugin exige alguma permissão, procure saber e entender o que ele fará, onde ele irá agir e etc, às vezes a opinião de usuários pode te guiar a um caminho bem tranquilo! Atente-se também para os quais executam códigos PHP ou outros códigos.

 

Logs

Esteja sempre ligado aos registros do seu site, monitorar pode ser uma das melhores maneiras de reagir a algum ataque, pois você poderá ver o que aconteceu, de que forma e quando ocorreu. Fique de olho em tudo o que acontece no Log, assim você estará sempre a par de tudo o que acontece em seu site!

 

Antes de sair, dê uma passada em nossa Hospedagem WordPress!!

 

 

 

Tagged

Como ter uma senha de alto nivel de segurança.

24 de março de 2016
Leave a comment
blog, Segurança

É muito comum hoje em dia, criarmos usuários e contas em diversos sites e áreas, seja para compras, jogos ou serviços. Mas, cá entre nós: Como costuma escolher suas senhas? De forma simples, fácil de gravar, rápida de digitar? Ou bem elaborada, e complexa?

Grande parte dos “habitantes” do universo da internet prefere a primeira opção, e muitos ainda perdem senhas fáceis!  Então aqui vão algumas dicas de como escolher ou montar suas senhas:

  • Use letras maiúsculas. Não no inicio de um nome, pois é muito óbvio! Procure uma sílaba tônica, por exemplo, como na palavra “celular”, Ficaria “celuLAR”.
  • Use numerais. Procure não usar números nos lugares de letras, isso é muito comum hoje em dia, talvez seja melhor substituir uma silaba inteira, que tal: “6lular”. Use números após, antes ou até no meio de uma palavra, como por exemplo “cel8u8lar”.
  • Símbolos são uma ótima pedida! Você pode substituir as letras usando-os, tais como $ (no lugar do “S”), @ (no lugar do “A”), & (no lugar do “E”). Ou melhor, substitua por algo que não combine como, por exemplo, usar um @ para substituir um “L”, isso seria inimaginável!
  • Escolha palavras que não tenham relação com suas intenções no site.  – Não entendi, explique! – É simples: Para o meu cPanel, ao invés de usar palavras relacionadas a informática, porque não nomes de comida? Animais silvestres? Objetos aleatórios? Uma vez, usei a senha “potedeGelo” no meu roteador de Wifi…Não lembro de nenhum usuário intruso em minha rede!
  • Por ultimo, para não perder uma ultra senha, composta por todos essas “pecinhas”, como esta, uma dica que dou é tirar um screenshot/printscreen/captura de tela de sua senha, nomear o arquivo de imagem com outra palavra sem nexo e guardar em um dispositivo que não tenha contato constante com a maquina a qual utiliza a senha! – Mas porque imagem? Porque nome sem nexo? –  Não há como pesquisar um texto escrito numa imagem! No máximo, o nome da imagem, MAS, como escolhemos um nome sem sentido para o arquivo, como iriam encontrar a tal imagem com a senha?!
  • Deixo aqui o resultado de tal “fusão”: 6luL@R9090″ , tirei uma foto, e nomeei o arquivo como “receita de biscoito”. Voilà!!
Tagged

Área interditada!! – Conheça o malware que infecta paginas que usam wordpress.

24 de março de 2016
Leave a comment
blog, Segurança

Hoje venho vos falar sobre o SoakSoak… Não o conhece? Que ótimo, pois ele é um malware que andou dando dor de cabeça para mais ou menos 100 mil usuários do tão renomado WordPress!

Havia uma pequena brecha nos códigos de um dos plugins do WordPress, o nome do plugin é RevSlider. Uma pequena pesquisa me fez descobrir que ele não era um plugin lá tão usado, até porque não está nem no top 100. Mas isso não impediu que aproximadamente 100.000, dentre os milhões de usuários, fossem atingidos em cheio! Ta, mas o que ele faz? O soaksoak.ru modifica o arquivo “wp-includes/template-loader.php” e “wp-includes/js/swfobject.js” fazendo com que um javascript do site SoakSoak.ru seja executado, assim, algumas paginas são infectadas, reproduzindo uma tela notificando que na pagina há contaminação de malware(já conhecida pela maioria dos internautas).

O problema estourou dia 14 de dezembro, mas a tal “brecha” já era conhecida desde setembro… o que nos deixa algumas perguntas e suspeitas!

Sabe-se que o malware ataca somente quem usa WordPress em sua própria hospedagem. Para resolver essa infecção em grande escala será necessário remover o código malicioso dos arquivos numa próxima atualização, que será dificultado pelo fato de que vários temas que trazem tal plugin já instalado. Fique ligado, dê uma vistoriada em seu site, navegue por todas as paginas através de diferentes dispositívos, se seu site ainda não apresentou nenhum erro ao acessar alguma página, verifique se seu WP tem esse plugin instalado, e desative-o.

Tagged

Ter Sites Responsivos é uma escolha responsável!

24 de março de 2016
Leave a comment
blog, Suporte

Estou aqui meio que aproveitando um gancho, logo entenderão porque!
É muito comum fazer uma coisa no computador e outra no celular, para evitar acúmulos de processos, economizar espaço na tela e etc. Por outro lado, fora de casa, a internet está incrivelmente acessível em praticamente qualquer lugar, em alguns países os veículos de transporte público possuem a milagrosa WiFi! O Smartphone é hoje um grande meio de acesso à internet, por isso grande parte dos sites estão se adaptando a esse sistema mobile de network.

A própria equipe Google se pronunciou à respeito, sites responsivos são um bom atrativo, pois quem nunca tentou acessar um site no Smartphone e deu de cara com um modelo desktop? Isso pode prejudicar alguns recursos, adicionar outros, mas a visualização e navegação podem se tornar impossíveis, sem falar do carregamento de vários scripts desnecessários!

É aqui que entra o tal “gancho”:

Esse é a pagina do nosso construtor de sites, as paginas criadas nele são totalmente compatíveis aos sistemas mobiles. As paginas geradas são adaptadas para a vizualização em smartphones e tablets. O Google lançou uma pagina a qual você pode testar a compatibilidade, é só a URL do site, com um click você consegue informações relevantes!

Conheça o construtor de sites de nossa hospedagem! Acesse:
Link do aplicativo Google! Mobile Friendly Test

Tagged

Top 20 linguagens de programação mais populares entre os desenvolvedores.

24 de março de 2016
Leave a comment
blog, Sem categoria

A Redmonk lançou dia 15, uma atualização do seu ranking de linguagens de programação mais populares, com algumas surpresas. A principal delas é o fato de que o Swift, nova linguagem criada pela Apple, se tornou a 22ª mais popular entre os programadores, saltando da 68ª posição alcançada no ranking lançado há seis meses.

O ranking leva em consideração a discussão sobre linguagens de programação no site Stack Overflow e sua utilização no Github, um repositório de projetos. Por serem dois sites muito grandes entre a comunidade de desenvolvedores, eles servem como uma boa base para análise, embora esteja longe de ser perfeita.

Veja o top-20 completo logo abaixo, com uma ressalva para o fato de que CSS não é uma linguagem de programação no sentido mais comum da expressão.

1º JavaScript
Java
PHP
4º Python
5º C#
5º C++
5º Ruby
8º CSS (não é exatamente uma linguagem de programação)
9º C
10º Objective-C
11º Perl
11º Shell
13º R
14º Scala
15º Haskell
16º Matlab
17º Go
17º Visual Basic
19º Clojure
19º Groovy

Como pode ser notado no ranking, o JavaScript figura no topo, superando por muito pouco o Java, segundo os responsáveis pelo ranking. A vantagem aparentemente se dá pelo fato de ser amplamente usada na internet.

Se o ranking numérico não for do seu agrado, a Redmonk também apresenta um gráfico que posiciona melhor as linguagens em termos de popularidade. O gráfico também é mais completo, permitindo observar outras linguagens que não aparecem no top-20.

Tagged
HS Serviços e Soluções Web LTDA. CNPJ: 09.390.905/0001-90 | Todo o conteúdo deste site é de uso exclusivo da Hospedagem Segura