Blogueiros: escondam a versão de sua plataforma

Por: em 03/01/08 na(s) categoria(s): Blog, Dicas, Segurança

comentários 8

Estava navegando por alguns blogs, depois de ler sobre o upgrade de segurança urgente do WordPress (2.3.2) e fiquei pensando como é fácil se aproveitar do orgulho de alguns blogueiros para abusar de um sistema. O exemplo prático é o fato de boa parte dos blogueiros abertamente colocarem não somente que ferramenta para blogar usam, mas também o hábito perigoso de colocar a versão atual do sistema. Se eu fosse uma pessoa mal-intencionada, no momento em que saisse a atualização do wordpress para 2.3.2. eu procuraria por blogs com wordpress 2.3.1, que tem falhas de segurança sérias e (agora) públicas.

Vou além. A maioria do pessoal que usa WordPress também deixa os caminhos padrão para acessar a parte de administração do blog, certo ? Experimente entrar em qualquer blog WordPress com o caminho "wp-admin". Pode não ser tudo, mas ter acesso á pagina de login do sistema já é alguma coisa.

Claro que usei o WordPress como exemplo somente pois é a ferramenta mais popular para blogs atualmente. Fica a dica: esconda pelo menos a versão de sua plataforma, e se possível altere os caminhos padrão para administração.

Mais textos de | Site | Twitter

  • http://www.winajuda.com/ Rodrigo Ghedin

    O problema é: os próprios desenvolvedores do WordPress pedem que a versão seja exibida no cabeçalho da página, para que seja possível obter estatísticas de uso…

    Ao lado do nome do sistema e da versão do mesmo, vem o seguinte comentário: “leave this for stats”.

    []‘s!


    http://www.guiadopc.com.br/

  • canha

    No entanto, ao retirar, o wordpress funciona normalmente.
    Talvez seja sacanagem complicar a vida deles, mas por outro lado, quem quer ter seu blog ownado né?

    Abraços

    Digital Paper – blog de design gráfico

  • http://br.groups.yahoo.com/group/ChannelTI/ JulianaPrado

    Oi

    Nunca devemos revelar na verdade como realizamos os nossos projetos

    Até +

    Juliana Prado Uchôa

  • http://kadu.ducz.com/ kadu

    Só reiterando o comentário que fiz antes do blackout =)

    Para quem quer atualizar o WordPress em segundos com a maior facilidade do mundo:

    Link original:

    http://netocury.com/archives/wordpress-232/

    Minhas impressões aqui:

    http://tinyurl.com/3353uh

    []

  • http://www.meiobit.com Leonardo Faoro

    [quote=kadu]Só reiterando o comentário que fiz antes do blackout =)
    [/quote]

    Gostei do termo “blackout”. :-)

  • Alenonimo

    Se você não quer ser “ownado”, então tudo o que tem a fazer é manter sempre a versão mais nova e fazer backups freqüentes.

  • Alenonimo

    Segurança por obfuscamento não é sempre uma boa idéia. Nesse caso em específico, acho bobagem esconder o número da versão do WordPress. Como eu disse antes, o melhor é manter o script sempre atualizado e fazer backups.

    A propósito, a brecha de segurança desta última versão do WordPress é referente à possibilidade de alguém ler algum artigo que esteja marcado como “rascunho”, não? Não diria que um site corre um risco muito sério por conta de algo assim.

  • Kid

    Por isso é que eu sempre fico cabreiro em atualizar qualquer coisa muito cedo. Prefiro esperar alguns meses.

    Offtopic: Alenonimo, você por aqui?

    http://www.hbdia.com

    Leia. Afinal, você não está fazendo nada mesmo.