Seu WordPress está sob ataque? Saiba o que fazer

Como botnets funcionam. * Wikipedia

Ontem no dia 20 de fevereiro de 2015 este blog da WeBizz que é motorizado em WordPress sofreu dois ataques de DDoS no mesmo dia, saímos intactos e sem queda do website e blog graças ao uso de boas práticas de segurança alinhado a um servidor com profissionais de ponta por trás, segundo nossas investigações este ataque foi direcionado ao servidor que operamos e não especificamente ao nosso blog apenas. Decidi então elaborar este post pra ajudar quem está sofrendo os ataques a ter uma noção do que se trata e como se proteger.

Do final de 2014 pra cá (fevereiro de 2015) tenho identificado um acréscimo significante nos ataques a sites motorizados com WordPress, no final de 2014 centenas de milhares de websites WordPress sofreram ataques nas vulnerabilidades encontradas em plugins comuns (como o popular meta slider) do WordPress explorando problemas de permissão inserindo malware em arquivos de imagens com códigos maliciosos, em fevereiro, identificamos ataques de DDoS também a sites WordPress explorando falhas em servidores e senhas ‘burras’ de administradores, os tipos de ataque só crescem e o WordPress está se tornando cada vez mais um alvo dos botnets. Aparentemente a guerra só começou.

Ataques DDoS

DDoS é conhecido como “Ataque de Negação de Serviço“, esse tipo de ataque tem a intenção de enviar solicitações massivas de diversos computadores infectados tentando causar uma sobrecarga no servidor. Normalmente são ataques com objetivo de simplesmente derrubar ou fritar algum servidor, mas com o tempo as táticas avançam e usam o ataque em conjunto com ataques de Login por força bruta e outros. Se seu site sofreu um ataque DDoS e você não é digamos um mega blog com muitos acessos, tenha calma, você provavelmente foi atingido no meio do tiroteio, o ataque pode ser por uma série de fatores, alguém quer a senha do seu site, alguém quer derrubar o servidor aonde você está hospedado, as possibilidades são infinitas.

Abaixo eu irei deixar algumas recomendações para lidar com os diversos tipos de ataque que tem acontecido a diversos websites especialmente se tratando de WordPress, que tem sido alvo ativo de ataques.

1. Tenha uma hospedagem com Cloudflare e contrate um desenvolvedor para configurar todos os padrões corretos pra seu site fazer o máximo de uso dos recursos do Cloudflare. Cloudflare é uma ferramenta que permite que maior parte do tráfego em seu website aconteça nos servidores da Cloudflare e não na sua hospedagem, contando com vários outros benefícios em performance e segurança, sendo assim muitos dos ataques tem sido barrados no cloudflare antes mesmo de chegar no seu servidor.
2. Instale um plugin de força bruta para barrar os ataques de DDoS que geralmente são tentativas de login por força bruta.
3. Opcionalmente, você pode fazer uso do “All in one WP Security & Firewall” que tem se mostrado mais que suficiente para parar praticamente todos os tipos populares de ataque. Requer um conhecimento mais elevado para configuração.
4. Use senhas geradas e salve-as num programa como o KeePassX, você não precisa se lembrar de todas as senhas, apenas uma senha mestre bem difícil para seu banco de senhas do KeePassX, nunca é demais repetir, NUNCA use senhas óbvias como ‘joao12345’ ou data de nascimento, ou contendo nome do site no meio, senhas devem ser assim: ‘fyT6gS1ErU0fGPq’
5. Mude o nome de login de sua conta de admin do WordPress. Use algo como ‘JoaoAdmin’ ou ‘meuadmin’ ou seu nome e sobrenome junto mesmo, qualquer coisa menos ‘admin’ ou ‘administrador’.
6. Verifique se você tem o arquivo ‘.htaccess’ na raiz do seu site WordPress e que este arquivo seja igual ao original. Certifique também que a permissão do seu htaccess seja ‘644’.
7. Se quiser verificar as permissões em geral do seu WordPress, verifique se todas as pastas tenham permissão ‘755’ e todos os arquivos ‘644’
8. Quando for fazer uma instalação de WordPress, durante instalação no banco de dados, altere sempre o prefixo padrão que é ‘wp_’, se você já tem instalado, o plugin All in One WP Security citado acima tem uma ferramenta pra alterar seu prefixo das tabelas do banco de dados atual. Este recurso deve ser usado com cautela, um backup de segurança DEVE ser feito antes disso.
9. Use o All in One para alterar seu link de login de administrador. Outros plugins também podem desempenhar esta função, ao invés de você usar o tradicional ‘/wp-login.php’ ou ‘/wp-admin’ customize seu caminho com outro nome específico pra que você e seus editores possam fazer o login.

Abaixo segue algumas instruções de htaccess que podem te dar paz de espírito e maior controle de seus diretórios e arquivos.

Note que se você copiar todas as instruções iguais, provavelmente você não terá um resultado funcional, recomendo você escolher quais instruções usar no seu caso de ataque.

# INÍCIO WordPress Básico
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# FIM WordPress Básico

# INÍCIO Negue acesso ao wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# FIM Negue acesso ao wp-config.php

#INÍCIO Proteger o arquivo .htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
#FIM Proteger o arquivo .htaccess

# INÍCIO Liberar acesso as telas de login apenas para seu IP "123.123.123.123"
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>
# FIM Liberar acesso as telas de login apenas para seu IP "123.123.123.123"

And that’s all for now!
Se você leu até aqui, Meu Obrigado e vê se volta!