Spammers e vulnerabilidades no wordpress

Chegou-me ontem por email uma nova e engenhosa forma de spam nos comentários de blogs wordpress: alguém registou-se como membro de um blog de que tomo conta. Poderia dar-se o caso de ser um novo membro (muitos blogs wp permitem o registo como subscritor) mas ninguém se chama xdfsd45oi e usa johnsmithuswe como asa [handle] no email.

Ainda estou é para descobrir qual o uso que o spammer pretendia com esta técnica. Por um lado suspeito que o filtro de comentários do akismet possa ser mais permissivo com comentadores registados. Por outro, é possível que o spammer tenha espreitado a minha pasta de plugins e descoberto que tenho instalado no blog um dos plugins dofollow que me permite remover o nofollow dos comentários algumas semanas após a sua publicação e desta forma recompensar os comentadores com um link aceite pelos robots dos motores de busca.

Esta segunda hipótese conduz-nos a uma vulnerabilidade de muitos blogs wp que listam os indexes de vários directórios. Neste caso trata-se de um directório que contém código não uniforme e proveniente de diversos autores. Nada me leva a concluir que existam mas uma pequena falha no código poderá abrir as portas a um cracker ou, mais plausível, à curiosidade alheia.

Para verificar se os vossos directorios estão protegidos tentem aceder ao directório 

/wp-content/plugins/

do vosso site, por exemplo no MB a url seria

www.marketingdebusca.com/wp-content/plugins/

(é escusado :-) )Verifiquei alguns blogs de amigos e descobri algumas listagens de plugins bastante interessantes!

A forma que encontrei de restringir o acesso aos indíces de directórios foi incluir a seguinte linha no .htaccess:

Options All -Indexes

O artigo no weblog tools colection lista outras formas mais elaboradas para obter o mesmo efeito. Para mais informação sobre o .htaccess vejam este tutorial.

Partilhar

July 5, 2007 | Publicado em Blogs, Seo para Wordpress, Tutorial, Webspam 

Comentários

6 Respostas para “Spammers e vulnerabilidades no wordpress”

  1. Bruno Miguel a July 5th, 2007 23:44

    Hoje, no Blogspot, recebi um comentário que redireccionava o post para um site manhoso. À pala disso tive que activar a verificação de palavras, o que vai obrigar as muito poucas pessoas que deixam comentários a ter que andar a por um código estranho para verem o comentário submetido :(

  2. António Dias a July 5th, 2007 23:56

    Ou então fazes como eu ;)

    Já era tempo do blogger onerar com a filtragem do spam em vez de forçar os seus utilizadores à adopção de captchas.

  3. Hugo S. a July 6th, 2007 13:59

    Desconhecia por completo o facto da directoria /wp-content/plugins/ aparecer listada. Felizmente o spam karma e o akismet têm limpo todo o spam.

  4. António Dias a July 6th, 2007 14:44

    E não é só essa Hugo.

    /wp-content/uploads/
    /wp-content/themes/

    /wp-includes/

    Pelo menos. E respectivas subdirectorias.

  5. Bruno Amaral a July 6th, 2007 19:21

    Obrigado pela dica, acrescentei um index.html em branco a cada uma delas :)

  6. António Dias a July 6th, 2007 21:53

    Sabes,
    de cada vez que vejo um blog interessante sem creditos no rodape (estou à procura de um template para o MB, provavelmente será este) ou com alguma funcionalidade nova dou um salto até à porta das traseiras:-)

    O teu foi o primeiro que verifiquei mas esqueci-me de tirar notas sobre os plugins :-)

Deixe uma Resposta






Fechar
E-mail It