Abri o Gerenciador de Tarefas e vi que o culpado era um tal de GbpSv.exe que teve um piriri e consumia mais de 50% de CPU. WTF!. A princípio parecia ser um vírus ou coisa do gênero, porque não me lembrava de ter instalado nenhum programa com esse nome. Será que a tríade SpyBot, Anti-Vírus e Firewall tinham me deixado a ver navios?

Procurando no Google, acabei descobrindo que esse arquivo é instalado por alguns bancos quando acessamos os seus home-bankings. Tudo em nome da segurança. Parece piada?

Felizmente pude constatar com os textos – G-Buster Browser Defense, analysis and removal e G-Buster revisited. Batendo a praga em seu próprio jogo! – que esse arquivo é completamente desnecessário para promover a segurança. O que é realmente importante são os plugins ActiveX para o IE que ficam na pasta Downloaded Program Files.

<pensando alto>
Aliás, falando nisso, quando é que os bancos irão atualizar os complementos para que funcionem no FF3?
</pensando alto>

Bem… Naqueles mesmos textos, também descobri que impedir esse programa de roubar CPU não seria uma tarefa trivial. Mas o mais importante é que era possível. Eu fiz o procedimento e tudo ok! Meu PC até parece que ganhou um upgrade de CPU!

Entretanto, se você não tem intimidade em ficar fuçando o seu Windows, desaconselho desativar esse executável e recomendo ligar ao helpdesk de seu banco relatando o seu problema.

Agora, se você quer se arriscar a mexer assim mesmo, saiba que o risco é todo seu…

Del.icio.us : Dinheiro, HomeBanking, Segurança, Tecnologia

Related posts

• Você conseguiria viver sem clicar? (3)
• Tornando o seu blog mais acessível (19)
• Tecnologia para o lixo (0)
• Técnica Relâmpago de Escrita (12)
• Segurança: Monitorando os Logins no Blog (13)

Até a versão 2.3 do WordPress, retirar a versão do WordPress do código html apresentado era fácil de ser feito. Bastava editar o seu tema e retirando a função bloginfo(‘version’) da tag <meta name=”generator” content=”WordPress x.xx”>

Mas a partir da versão 2.5 isso deixou de ser simples, pois essa meta tag foi incorporada na função wp_head cuja chamada fica normalmente no arquivo header.php de seu tema.

Uma das soluções possíveis, neste caso poderia ser a edição do arquivo default-filters.php que está na pasta wp-includes. Entretanto, isto acarretaria em uma nova reedição toda vez que um upgrade do WordPress fosse feito. Desaconselhável, pois normalmente durante um upgrade estamos preocupados com informações mais relevantes (Banco de Dados, Temas e Plugins Compatíveis, Back-Ups diversos…) e é bem provável que isto acabe ficando em um 2º ou 3º plano.

Com um pouco de pesquisa, encontrei um plugin específico – bs-wp-noversion – publicado pelo blog BlogSecurity.net especializado em segurança de Blogs.

O seu funcionamento é simples. Basta baixá-lo, instalá-lo na pasta de plugins do WordPress e ativá-lo no painel de administração. E pronto! Você acaba de aumentar um pouco mais a segurança do seu blog.

Del.icio.us : Plugins WordPress, Segurança

Related posts

• Aumentando a Segurança do seu Blog em WordPress (0)
• WordPress Social com Plugins (0)
• WordPress Automatic Upgrade e WordPress em Português (4)
• WordPress 2.7 e Atualização Automática (3)
• WordPress 2.2 RC1 (11)

Isto por si só já é muito ruim para quem mantém um blog sem muito compromisso. Mas para quem mantém um blog seriamente, é a morte. Principalmente porque o Google considera essa prática de SEO inaceitável e retira TODO o seu conteúdo dos seus índices de busca. E dependendo de qual era a popularidade do blog e do seu pagerank, pode significar uma perda de 60 a 80% das visitas, ou seja, todo um trabalho arduamente construído meses a fio vão para o lixo.

Eu já tinha alguma paranóia quanto a segurança no WordPress, como podem ler no meu texto de fevereiro/2008 – Segurança: Monitorando os Logins no blog. Agora com essa onda de invasões – basta googlar “WordPress Security Issues” para se ter uma idéia – o alerta vermelho anda apitando…

Dos textos que andei lendo, destaco estes softwares e plugins:

Filezilla Рum cliente FTP gratuito que aceita o protocolo SSH. O FTP comum ̩ bastante inseguro pois seus dados trafegam sem seguran̤a alguma. Utilizando o protocolo SFTP com SSH, tudo ̩ criptografado, aumentando a dificuldade na captura de seus dados. Infelizmente, a possibilidade de uso do SFTP depende da sua hospedagem. Consulte o seu suporte antes de mudar as configura̵̤es no cliente FTP.

WordPress Scanner – um plugin para verificar se o seu blog foi invadido. O scaneamento é feito através do acionamento de um cgi nesta página do desenvolvedor.

Login LockDown – Plugin WordPress que bloqueia o endereço IP após N tentativas de login sem sucesso. Muito importante para bloquear as tentativas de invasão por força-bruta.

Login Logger – Plugin que mostra todas as tentativas de login sem sucesso, além de mostrar quem está logado no momento. Para os casos em que a invasão ocorre sem a alteração da senha do administrador do blog.

Admin SSL – Plugin que criptografa o seu login através do protocolo SSL. Infelizmente, também depende de que a sua hospedagem disponibilize um certificado para uso. Recomendado pelo próprio WordPress.org

Além desses softwares e plugins, há uma série de ações que devem ser tomadas para aumentar a segurança do WordPress. Para uma leitura completa, recomendo os textos

Hardening WordPress
8 Security Tips and Guidelines for Your WordPress Blog
WordPress Security Tips and Hacks
WordPress Security Prevention, Reactions and Scares
WordPress Security Issues Lead to Mass Hacking. Is Your Blog Next?

E para finalizar: “Só porque sou paranóico, não significa que eu não esteja sendo seguido“.

Atualização: se você não quiser ativar o plugin WordPress Scanner para fazer o teste via cgi, tente usar o WP Security Scan.

Del.icio.us : Segurança, WordPress, WordPress Plugins

Related posts

• WordPress Social com Plugins (0)
• WordPress Automatic Upgrade e WordPress em Português (4)
• Upgrade do WordPress Rápido e Rasteiro (2)
• Top Plugins WordPress 2008 (31)
• Redirecionando alguns URLs do Blog (6)

Uma das que considero bastante interessante é saber quando foi feito o último login no sistema, pois esta é uma informação que o invasor não tem controle. Principalmente útil contra aqueles que ficam à espreita sem alterar a sua senha e nem nada substancialmente perceptível à 1ª vista.

Pesquisando um pouco no Google, encontrei um plugin que faz exatamente isto: Login Logger v0.1.

Após a instalação, surge o item “Login Logs” na opção “Usuários” no painel de administração. Ali ele apresenta quais foram os últimos usuários logados, em que data e hora ocorreram, a partir de quais endereços IP e há quanto tempo aconteceram.

Além desta informação, o plugin apresenta uma lista das tentativas de login sem sucesso. Ali, informa qual usuário foi utilizado, a data e hora ocorridos, o endereço IP e há quanto tempo aconteceu. Essencial para identificar se houve tentativas de invasão ao blog.

Depois de alguns testes, notei que o plugin apaga as informações anteriores do usuário que faz o login, mantendo apenas o daquele instante. Deste modo, ele perde um pouco da característica que eu pretendia. Entretanto, e fuçando um pouco o arquivo loginlog.php, percebi que as linhas 71, 72, 73 e 74 faziam exatamente o que eu não queria. Transformando-os em comentários, consegui manter o log intacto, mesmo que fazendo login com o mesmo usuário diversas vezes.

Por enquanto, é essa a gambiarra e até notifiquei a autora do plugin. Basta agora, pensar no que fazer quando essa tabela ficar enorme o suficiente para que torne lenta a página de gerenciamento dele. Mas até lá, ele vai cumprindo a sua função.

A idéia está aí para quem quiser aproveitar. É um pequeno POG (Programação Orientado a Gambiarras), mas que vale a pena quando pensamos na segurança do nosso blog.

Technorati : Blog, Segurança

Related posts

• Você é blog-dependente? (0)
• Uma idéia para um blog (5)
• Sou blog-dependente? (5)
• Ranking dos 200 Blogs Mais Populares (8)
• Passando a Vida Blogando… (14)

Seguran̤a contra quem? РDiscutindo o substitutivo ao projeto de lei 76/2000 de autoria do senador Eduardo Azeredo РPSDB-MG.

Não morda a isca – Proliferação de SPAM e artifícios maliciosos.

A liberdade vigiada do Orkut РDiscusṣo sobre a utiliza̤̣o crescente das ferramentas online do Google.

Governos e mercado impulsionam censura na internet – Censura em alguns países e controle de uso da internet nas empresas.

Certifica̤̣o e identidade digital: ICP-Brasil РCertifica̤̣o e seguran̤a digitais.

DRM: Defectis Repleta Machina РDiscusṣo sobre o futuro (?!) do DRM.

Hackers, monopólios e instituições panópticas – Discussão sobre a concentração de poder e a cultura Hacker.

Estes assuntos fazem pensar o quanto estamos dependentes de apenas uma empresa, no caso o Google, que sabe com quem você troca e-mails via Gmail, quem são seus amigos via Orkut, quais são suas idéias via Blogger e Google Docs, por onde você já andou via Google Earth, quem você filma via YouTube, quem você fotografa via Picasa, o que você anda lendo via Google Reader e quais são os seus interesses imediatos via buscador do Google.

Um sonho para qualquer Grande Irmão…

Technorati : Hacker, Internet, Orkut, Segurança, censura

Related posts

• Seleção Natural e Internet (4)
• Segurança: Monitorando os Logins no Blog (13)
• Ganhar Dinheiro pela Internet ao Extremo (7)
• Ferramentas Poderosas (0)
• Computador Lento? Procure o seu Banco. (4)

Inclusive a semelhança não está só na freqüência em que os updates são lançados, mas também na existência de um plugin que faz a atualização para você, quase como se fosse uma versão das “Atualizações Automáticas” das Janelas. Este plugin se chama WordPress Instant Upgrade e cujo tutorial foi traduzido para o português pelo Neto Cury em seu artigo Instant Upgrade WordPress plugin.

No caso em que queira verificar se há alguma atualização nos plugins, pode-se recorrer ao Update Manager já que ele avisa quando há uma versão mais atual dos plugins que estão instalados no WordPress.

Enfim, a notícia sobre a recente atualização você poderá ler integralmente no artigo WordPress 2.1.3 and 2.0.10 no site oficial WordPress.org

Agora, só resta criar coragem e arranjar um tempo para fazer o update…

Technorati : WordPress, atualização, segurança, update

Related posts

• WordPress Social com Plugins (0)
• WordPress Automatic Upgrade e WordPress em Português (4)
• WordPress 2.7 e Atualização Automática (3)
• WordPress 2.2 RC1 (11)
• URGENTE: WordPress 2.1.2 (0)