Ser blogueiro se tornou um profissão tanto que rentável para aqueles que conseguiram os seus 15mb de download de sucesso. Perez Hilton é um dos blogueiros que faturam mais alto com o seu trabalho, cerca de US$ 1 milhão por mês, vários brasileiros sonham e muito em chegar neste nível.

Há milhares de blogs editados por brasileiros, alguns bem famosos e que geram uma boa renda mensal, mas estes blogs têm a sua segurança verificada todos os meses ?

Fiz um post, há algum tempo, demonstrando a utilização do WPScan, ferramenta desenvolvida em Ruby que tem a capacidade de identificar vulnerabilidades em blogs baseados no WordPress. Vale lembrar que mais de 90% dos blogs e portais brasileiros possuem como base o Worpress. É uma excelente ferramenta, com as suas facilidades e o seus milhares de plugins, mas é aí que mora o perigo.

Desenvolvedores para WordPress fazem isso como hobby, por este motivo, eles não têm uma certa preocupação com segurança e uma nova vulnerabilidade é descoberta a cada instante. Ferramentas como o WPScan caçam essas vulnerabilidades apontando os exploits que podem explorá-las.

Na época, eu fiz um teste em 3 grandes blogs, encontrei algumas vulnerabilidades, mas nada que desse para ser explorada. Hoje, eu rodei nos 50 blogs mais acessados do Brasil, e que utilizam o wordpress, baseando-me no Alexa.

O resultado foi:

  • 40% dos blogs possuem vulnerabilidades devido a utilizam de versões antigas de plugins ou do próprio wordpress.
  • 35% destas vulnerabilidades são exploráveis e achei 10 casos em que o estrago seria bem grande (apagar o blog por completo – façam backup)
  • 2 blogs estão com as pernas abertas para Internet, juro que eu não sei como eles ainda não foram pichados ou o seu banco de dados deletado.
  • 30% dos blogs não possuem qualquer segurança para tentativas de acesso para bloquear ataques de bruteforce.

A próxima campus-party terá a presença massiva de blogueiros que ajudarão na divulgação do evento via Internet. Os organizadores não são bobos, mas os blogueiros sim, pois eles estarão editando o conteúdo de seus filhotes de lá e provavelmente sem segurança alguma.

Deixo alguns conselhos aos grandes blogueiros brasileiros:

  1. Saibam quais plugins vocês precisam e não precisam em seu blog. Remova os quer forem desnecessários.
  2. Instalem e habilitem plugins de segurança como o Secure WP, varra o seu blog na busca de vulnerabilidades, encontrando-as, corra para corrigi-las.
  3. Sempre, eu digo sempre que forem acessar o seu blog para postar ou editar algo, faça isso de uma rede segura, utilize uma VPN caso vocês não confiem nem na sua mãe.
  4. E por último, ter um blog não é só saber utilizar o Photoshop, copiar conteúdo de alguém ou mudar a resolução da tela do youtube. Vocês devem entender um pouco sobre segurança

Aviso.: Na campus do ano passado, o pessoal conseguiu pegar a senha de edição de posts do G1 – o jornalista deu um vacilo e o pessoal não perdoou.

Compartilhar:

Este post tem 2 comentários

  1. Você utilizou o WPScan novamente nesses 50 blogs Gustavo?? vou utilizar no meu pra dar um olhada…ele ja foi hackeado 1 vez por preguiça de atualizar….vamos ver! vlw pela dica!

  2. Instalei no Ubuntu e gostei da ferramenta!

Deixe uma resposta

Fechar Menu