Posts Tagged ‘wordpress’

CryptoPHP: um malware voltado para administradores de CMS (Joomla, WordPress, etc)

Esta notícia é para os administradores de sites de conteúdo CMS como o Joomla, WordPress e Drupal e que tem a mania de baixar e se utilizar de temas, plugins e todo o aparato tecnológico de sites gratuitos.

Os seus sites podem ser vítimas do backdoor CryptoPHP que permite um usuário remoto controlar o seu site de forma anônima e segura (para ele, é claro).

 

A melhor forma de verificar se você foi vítima ou não é procurar nos arquivos fontes do seu CMS se existe uma referência no código php para o arquivo social.png.

<?php include(‘images/social.png’); ?>

 

Maiores informações podem ser obtidas neste relatório (inglês): https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf

Atualização crítica do WordPress: 3.0.4

Usuários do WordPress 3.x devem atualizar o quanto antes a para a versão 3.0.4, liberada no dia 29.

A atualização é considerada crítica, fortemente recomendada pois afeta o core da biblioteca KSES, usada em várias áreas do blog.

Muita gente viajando não terá como fazer isso nos seus blogs por esses dias, embora seja possível atualizar pela web apenas clicando num botão e fornecendo as credenciais do servidor (desde que as pastas já tenham permissões de escrita, claro). O anúncio não dá detalhes claros dos problemas de segurança corrigidos mas eles podem ser vistos na lista de alterações recentes no código e no Codex.

No momento os sites em português (tanto BR como PT) não contam com a atualização, baixe pelo WordPress.org. Desde que você mantenha o wp-config original e o arquivo de idioma imagino que não tenha problema em substituir os outros arquivos e mandar atualizar o banco de dados, afinal muitos estão acostumados a fazer isso com outras versões.

As vulnerabilidades XSS são graves pois podem permitir alterações no blog, caso bem exploradas. Basicamente quatro arquivos foram alterados nesse update, não há alertas do tipo de invasão que seria possível nas instalações desatualizadas. Fica a recomendação.

Aproveitando o tema, no natal foi publicado o RC da versão 3.1. que trará várias alterações internas. É uma boa hora para fazer uma instalação clone do seu blog e testar os temas e plugins antes do release estável.

Fonte: GDH.net.br