Falhas no wordpress mais uma vez são culpadas pela invasão de um site importante, espera… Quem é realmente culpado nessa história? Deixarei vocês decidirem ou criarem uma opinião própria sobre o culpado. As falhas existem e vários sites são responsáveis pela divulgação dessas falhas para administradores se manterem atualizados, então quem são os responsáveis para mitigar e manter um sistema atualizado?

 

O fato é que alguns subdomínios da empresa Extra.com foram invadidos pelo grupo Red Eye Crew, vocês podem ver eles logo abaixo. Esse mesmo grupo foi o responsável pela invasão no domínio do Mercado Livre.

Gostaria de deixar uma observação bem grande a respeito dos “selos de segurança” que aparecem geralmente no rodapé do site, esqueçam eles. A verificação acontece na transação entre cliente e servidor, ou seja, na comunicação com o site seus dados são protegidos, mas isso não quer dizer que a aplicação ou servidor estão seguros. O domínio principal não sofreu quaisquer alterações, mas isso não desvaloriza o fato que um grande site caiu na rede de invasores.

Analisando os sites invadidos podemos ver que rodavam o WordPress como aplicação principal, então sua falha poderia estar nos plugins ou temas que são em sua grande maioria produzidos por terceiros. Tentei entrar em contato com o pessoal do grupo Red Eye Crew, mas não consegui ainda, caso consiga deixarei uma atualização no final da postagem sobre qual plugin estava vulnerável.

Como se proteger? Simples. Primeiramente contrate um webmaster que conheça a aplicação e sua segurança. Diversos plugins existem para verificação de falhas como nesse artigo que escrevi e por último fique antenado nas últimas falhas do wordpress pelo seguinte site.

fonte: http://securityattack.com.br/