Categoria: Segurança

Dicas de segurança para sites WordPress

Outra dica para ficarmos de olho está relacionada ao entendimento de como o código malicioso se aproveita para iniciar seus trabalhos em sites WordPress vulneráveis. Assim podemos evitar abrir brecha. É um pouco sobre isso que escrevo nesse POST.

Entenda o mecanismo

Normalmente é um processo em grande parte automatizado por sistemas preparados pra isso, mas que só vão ter sucesso, dentre outras, nas seguintes condições:

Condição 1 – Permissões

As permissões dos arquivos foram alteradas pelo administrador desavisado, dando permissão para quem não deveria.

Então muita atenção quando algum plugin ou tem algum erro e, para resolver, os tutoriais orientam ajustar as permissões. Existem incontáveis tutoriais condenáveis mandando colocar tudo 777 (isso é escancarar a segurança, como pendurar todas as chaves no portão na frente de casa).

Basta os robôs de varredura, que trabalham dia e noite (simples como um visitante acessando o site), descobrirem que determinado site está escancarado, e automaticamente ele vai executar um arsenal de explorações conhecidas até conseguir entrar mais a fundo.

Dica de como se proteger

Então a maneira de se proteger é entender como funcionam as permissões e monitorar para que estejam sempre em ordem. Aqui nesse link tem orientações do próprio wordpress.org sobre como devem estar as permissões em um site WordPress. E para quem administra servidores linux, aqui nesse post mostro um pouco mais detalhes sobre como isso funciona.

Condição 2 – Backdoor

A própria pessoa que ‘monta’ o site introduz um backdoor sem saber. Isso infelizmente acontece muito. Nesse caso, mesmo com as permissões OK, e outros mecanismos de segurança também OK, a backdoor já está lá, camuflada e prontinha esperando conexão de quem explorar, sejam humanos ou robôs. Daí basta os robôs explorarem injetando mais código malicioso através da backdoor e o cenário está montado para inúmeros tipos de atividade maliciosa ao mesmo tempo.

Dica de como se proteger

A maneira de se proteger é sempre olhar o código e buscar apenas plugins/temas oficiais do wordpress.org, que tenham reputação a zelar. Desconfiar sempre de plugins muito bons e gratuitos ou muito baratos.

Condição 3 – Novas vulnerabilidades

Algum dos componentes do site ou servidor até então seguro passa a estar vulnerável. Pode ser o sistema operacional, banco de dados, webserver, php, WordPress, plugins, temas… enfim, uma infinidade de componentes.

Pesquisadores e programadores passam dia e noite descobrindo erros em seus códigos e corrigindo, e quando publicam a correção o criminoso estuda e desenvolve o código da exploração para todo mundo que não atualizar o dado sistema com a última versão corrigida. Além disso, normalmente ele treina os robôs para varrerem a internet atrás de sites executando a versão. Essa informação é tão fácil de obter quanto uma simples visita a um site. Por exemplo, aqui nesse link até pouco tempo atrás era possível saber, em milésimos de segundo, qual a versão desse plugin usado aqui no BLOG. Agora me diga: quanto tempo você acha que um desavisado leva pra atualizar um componente vulnerável pra última versão segura? Às vezes anos…

Daí os robôs exploram e injetam ainda mais códigos maliciosos dentro dos interesses de quem comanda essas redes maliciosas.

Dica de como se proteger

Então a maneira de se proteger é mantendo *tudo* sempre o mais atualizado possível.

Condição 4 – Zero-days

Algum componente vulnerável e nenhum dos interessados em corrigir sabe disso. São as chamadas vulnerabilidades “Zero-day”. Nesses casos apenas especialistas muito bem pagos conseguem se proteger, e mesmo assim muito desafiador. É por esses caminhos que muitos criminosos atuam nesse exato momento sem nem mesmo estarem sendo monitorados ou investigados. Estão completamente incógnitos.

Dica de como se proteger

Então não tem muito o que fazer a não ser monitorar a ‘pegada’ – footprint – atividade estranha no servidor. Se a vulnerabilidade estiver sendo explorada para efetuar tarefas leves, dificilmente será percebida, agora se estiver consumindo muito recurso, fica mais fácil de perceber. Normalmente WAFs (que são firewalls de aplicação web, tais como como Wordfence ou Cloudflare) ajudam nisso pois fornecem métricas interessantes.

Concluindo

Então é mais ou menos por aí. Existem ainda inúmeras outras condições. Essas quatro foram as primeiras que me vieram em mente ao escrever esse POST. Quanto mais conhecimento for obtido nessa área e melhor forem implementados os controles, mais seguro é o site. E quanto mais seguro, melhor é a continuidade do negócio ao qual o site pertence. Também mais fácil a atuação de analistas de segurança para uma resposta rápida caso algo aconteça, o que também é fundamental.

Ao mesmo tempo, mecanismos de segurança são importantes e podem ajudar, mas estão longe de ser garantia de segurança. É como se comparássemos com vigilantes ou câmeras de segurança. Melhoram a sensação de segurança e ajudam a resolver alguns problemas pontuais, mas sabemos que de certo tempo pra cá nós vemos a transmissão de barbaridades acontecendo justamente pelas imagens de câmeras de segurança. Elas não impedem, apenas registram.

Cabe a cada um de nós fazer nossa parte em busca de conhecimentos necessários e segurança nesse território perigoso que sempre foi a Internet. Assim ao menos nossos sites WordPress estarão um pouco mais seguros.

Como sempre, obrigado pela leitura.

Teve seu WhatsApp hackeado?

Fique tranquilo. Evite entrar em pânico.

Realmente, lamentavelmente a Internet anda muito pior do que a rua das cidades onde moramos, pois é acessível INTERNACIONALMENTE, e ali na rua só tem os bandidos que conseguem atuar fisicamente por aqui.

Mas não se desespere. Aqui tem algumas dicas úteis. Leia com calma pois não significa que seja um passo-a-passo a realizar no seu caso. Use essas dicas mais para aprender sobre o assunto. De cada frase aqui, tente entender as entrelinhas de como a maquinação funciona para saber agir no seu caso.

Se você tinha habilitada a autenticação de dois fatores (2FA), os criminosos não conseguirão habilitar seu WhatsApp em outro aparelho para ter acesso aos seus contatos e conteúdo de conversas.

Ainda não precisa sair mudando senhas desesperadamente.

Comece abrindo o boletim de ocorrência na delegacia de polícia civil (eles atendem pela internet mesmo, bem fácil). Informe no BO tudo o que ocorreu até agora, inclusive o número de telefone de quem está nessa atividade fraudulenta. Daí com as evidências que você vai informar, eles possivelmente devem tirar esse número de atividade assim que puderem.

São Paulo: https://www.delegaciaeletronica.policiacivil.sp.gov.br/

Rio de Janeiro: https://delegaciaonline.pcivil.rj.gov.br/

Santa Catarina: https://delegaciavirtual.sc.gov.br/

Entre em contato com um técnico de confiança ou alguém que entenda bem do assunto. Informe tudo o que ocorre e o que você já fez. Peça algumas dicas.

Tente perceber se foi apenas uma ação pontual, por exemplo de alguém usando sua foto para pedir dinheiro para uma pessoa de sua família em específico. Pode ser que o WhatsApp desse seu familiar tenha sido comprometido, e não o seu. Entende?

Alerta total aos seus ambientes virtuais partir de agora, não precisa ainda sair mudando senha de tudo. Mas é claro, se tiver algo muito valioso e que você ache que pode estar vulnerável, se puder mude a senha de acesso.

Prestar atenção à tudo que puder pra ver se algo mais está comprometido, ou se está em condições normais. (e-mails, SMS, mensagens, chats, contas bancárias, notificações). Se suspeitar que algo está comprometido, mude a senha.

Avise amigos ingênuos mais próximos que estejam mais propensos a ‘cair’ cegamente na lábia desse golpista.

Oriente os familiares que receberem esse tipo de contato a procurar esse botão de “Denunciar” ou “Reportar” na tela da conversa daquele número e denunciar. Quanto mais pessoas fizer melhor.

pelo WhatsApp Web é algo assim, “Denunciar”
pelo celular, clique no menu da conversa e use o botão “Mais”
Aí está a opção de “Denunciar”

É bom também incentivar os familiares a conhecer e configurar corretamente as preferências de privacidade do WhatsApp. Isso fica nas preferências -> conta -> privacidade, e lá temos as opções que podemos restringir como por exemplo:

1) Visto por último = ninguém (daí ninguém poderá saber a última vez que você abriu seu WhatsApp)

2) Foto do perfil = meus contatos (daí não é qualquer pessoa que terá acesso à sua foto do perfil)

3) Recado = ninguém (daí ninguém poderá ler o recado que você deixa no seu perfil)

4) Desativar confirmação de leitura (daí ninguém pode saber se você leu ou não leu a mensagem)

Quando estiver com tempo leia com calma nesse artigo: https://www.mentebinaria.com.br/artigos/o-que-fazer-antes-que-seu-celular-seja-roubado-r44/

(principalmente a lista do que têm que ser feito antes disso acontecer)

O Fernando atualmente é pesquisador de segurança numa empresa renomada (a Trend Micro). Ele que escreveu esse artigo. É muito bom esse conteúdo dele!! A comunidade ‘mente binária’ é fundada por ele. Recomendo fortemente que você leia o conteúdo desse link.

2FA é de longe o item mais importante dessa lista, e eu espero que você já tenha feito.

Importante incentivar nossos familiares a ativar isso também! Nosso aplicativo de 2FA não pode ter apenas uma ou duas contas cadastradas. Deve ter todas que puder, tem que ser recheado de contas lá! Então agora é hora de pensar em todas as contas e senhas mais importantes para ir ativando 2FA. Algumas pessoas usam o app do Google, mas tem da Microsoft também, dentre outros.

Seguindo essas dicas, o negócio a partir daí é ficar calmo e esperar passar. Ao ver que não consegue o que espera, o criminoso certamente vai parar de agir.