Risco de DOS no WordPress 2.8.4

A versão mais recente do WordPress está vulnerável a um ataque, simples de ser feito, que pode levar o servidor onde ele está instalado a exaustão de recursos. O exploit explora uma falha no arquivo wp-trackback.php e pode deixar o WordPress consumindo recursos do servidor indefinidamente. O grande problema deste ataque é que, quando percebido, você não tem como acessar o servidor para parar o ataque, uma vez que o load estará altíssimo.

Acabei de receber pela lista wp-hackers, com dicas de um plugin ou uma alteração no seu tema (que faz a mesma coisa que o plugin):

Hi All,
There have been several reports this morning of a DOS attack affecting the WordPress wp-trackback.php file.

* [original post] http://www.stevefortuna.com/new-0-day-wordpress-exploit/
* http://jarraltech.com/2009/10/new-0-day-wordpress-exploit/
* http://www.hashbangcode.com/blog/wordpress-dos-attack-script-solution-2135.html

All the the solutions have been the same thus far and require editing your .htaccess file or the wp-trackback.php file.

FullThrottle has composed this quick plugin that accomplishes the same thing as the edit to the wp-trackback.php file.

We will update this post and our code if further insight into the attack deems it necessary.
We’d greatly appreciate any feedback this list has as well.

You can download the plugin to test here:

http://fullthrottledevelopment.com/wordpress-plugin-to-stop-trackback-dos-attacks

or place the following in your theme’s functions.php file:
[PHP]
function ft_stop_trackback_dos_attacks(){
global $pagenow;
if ( ‘wp-trackback.php’ == $pagenow ){
// DoS attack fix.
if ( isset($_POST['charset']) ){
$charset = $_POST['charset'];
if ( strlen($charset) > 50 ) { die; }
}
}
}
add_action(‘init’,’ft_stop_trackback_dos_attacks’);
[/PHP]
Thanks,
Glenn Ansley

http://fullthrottledevelopment.com


Para proteger um servidor inteiro

Quem tem um ou vários servidores com várias instalações do WordPress, a solução acima pode ser um problema e acabar sendo atingido antes de acabar de configurar. Uma solução rápida, enquanto não resolve todas as instalações do WordPress ou, mesmo, aguarda uma nova atualização, é bloquear o acesso ao arquivo wp-trackback.php no servidor.

Para quem usa Apache, coloque as linhas abaixo no final do arquivo de configuração global (ex.: apache2.conf):
[CODE]

Order allow,deny
Deny from all

[/CODE]

Para quem usa Lighttpd, coloque as linhas abaixo no final do arquivo de configuração global (ex.: lighttpd.conf):
[CODE]
$HTTP["url"] =~ “^/wp-trackback.php” {
url.access-deny = ( “” )
}
[/CODE]


Voltando para Dreamhost

Dreamhost com $ 50,00

Dreamhost

Há algum tempo, venho testando os dedicado virtual da Dreamhost, com o Diversos. Mas ainda estava relutante para migrar o BrPoint. Agora chegou a hora. Esta semana o HD do dedicado que eu estava usando foi para o espaço, o que serviu como desculpa perfeita para fazer a transferência.

Uso a Dreamhost desde março de 2006 e apesar de algumas peculiaridades do serviço e as limitações de uso de CPU, sempre foi algo bastante confiável e o dedicado virtual mostrou que pode agüentar o tranco. A limitação agora é memória e não CPU, o que ajuda bastante a não ter muitos problemas, mesmo que seja mais limitado que um dedicado.

Vantagens do Virtual Dedicado na Dreamhost:

  • Sem restrições de uso de espaço (chamado de ilimitado)
  • Sem medição no uso de transferência (chamado de ilimitado)
  • Acesso SSH
  • Mesmas facilidades da conta compartilhada (Instalação com um click, SVN, Jabber, DNS, Mail etc…)
  • Custo (Sai bem mais barato que um servidor dedicado, a não ser que eu queira os mesmos recursos)

Cabe uma ressalva, eu sou contra chamar espaço em disco e transferência de ilimitados, o que não existe, mas é muito usado como chamariz promocional. Levando para a realidade, o que a Dreamhost oferece no dedicado virtual (na promoção que consegui e não sei se ainda está disponível) é uma quantidade de espaço não controlada, que, provavelmente, ninguém vai conseguir ultrapassar e na transferência a limitação é pela capacidade do link, mas não é controlado, ou seja, se o link suportar poderia transferir quanto eu quisesse.

São detalhes, mas eu não acho correto este tipo de afirmação, mesmo que ninguém com uso normal utilizaria todos os recursos disponíveis, então o ilimitado é considerado, por quem defende essa denominação, uam verdade.

Desvantagens do Virtual Dedicado na Dreamhost:

  • Não tenho acesso como root
  • Menos recursos que um dedicado
  • Não posso mapear memória
  • Limitações do que eu posso fazer com o Webserver e com o PHP
  • Usando Apache e PHP em CGI (o que vai reduzir o desempenho, já que eu usava o Lighttpd, com PHP em fastcgi)

Apesar de poder instalar o Lighttpd e compilar meu próprio PHP na Dreamhost, uma das idéias de fazer a mudança era, justamente, reduzir a complexidade da instalação. Para terem uma idéia foram quase 30 horas para fazer a transferência, de tão enrolado que era o esquema para ter o máximo de desempenho possível.

Mudanças no fórum

Outra mudança que eu queria fazer era passar o fórum, para dentro do domínio e deixar mais integrado com o WordPress, para isso usei o Simple:press, um excelente plugin de fórum . O único problema é que não existe uma conversão do SMF (que eu savua antes) para o Simple:press, então não tenho como recuperar os tópicos antigos.

Ainda vou pensar como migrar (e se será possível migrar), mas fiquei bastante satisfeito como ficou o fórum.

Se você estiver lendo esse texto significa que já está vendo o blog na Dreamhost, pode demorar ainda para alguns verem, espero que nenhum erro ocorra, se acharem algum por favor me avise.

Perdi alguns comentários e pingbacks que foram enviados nessas últimas 30 horas. Infelizmente, isso não tenho como recuperar.


Atualizem o Tweetbacks

Saiu uma nova versão para o Tweetbacks, que instalei na semana passada.

Na versão antiga, estava recebendo um volume imenso de spams via twitter. Não tem jeito, sempre acham uma brecha. Agora, as mensagens podem ser aprovadas pelo painel de administração.


Incremente seus posts com Apture

Não faço idéia de como esbarrei no Apture, mas cada dia que passa, vejo como ele pode melhorar muito o uso de outras mídias para ilustrar textos em blogs. As possibilidades de inserção de mídia, são incríveis, o editor do Apture faz pesquisas na Wikipedia, Youtube, Google Maps, Flickr e outros para disponibilizar textos, imagens e vídeos para complementar os artigos.

O site oferece um plugin para WordPress que faz com que toda a integração seja muito simples, basta acessar a página do blog e começar a linkar palavras ou adicionar vídeos e imagens, entre os parágrafos, sem precisar sequer acessar o painel administrativo.

O único grande inconveniente do Aptura Apture é que você só pode fazer essas alterações depois que o artigo é publicado, no painel de administração o editor não é carregado e você não pode usá-lo o que é bastante frustrante e tira um pouco do charme de já entregar o artigo completo. Poder inserir a mídia diretamente no painel de administração deixaria a ferramenta perfeita.

Screenshot do Apture em ação

Screenshot do Apture em ação

Por exemplo, enquanto estava configurando o plugin para o BrPoint (já uso em outros blogs há algum tempo), fiz uma pesquisa por Apture, no editor do mesmo e achei um vídeo que é o próprio tour do produto, publicado pelo próprio serviço. Seria excelente para ilustrar esse artigo, mas só vou poder inserí-lo, depois da publicação, ou pegar o vídeo no próprio site, para poder colocar durante a edição, o que tira completamente a função da ferramenta de busca.

Outras opções do plugin são:

  • Criar links que abrem na janela do Apture.
  • Permitir outras pessoas editarem as páginas do seu blog (editores selecionados).
  • Transformar o blog em uma “wiki”, onde qualquer pessoa com conta no apture pode alterar as páginas
  • Abrir links já existentes para vídeos, fotos e documentos na janela do Apture

Vale a pena, principalmente para blogs que gostam de abusar de multimídia, podendo deixar os artigos bem mais completos. Só faltava poder usar para editar pelo painel administrativo, antes de publicar… como não pode, vou ter que fazer depois de publicar, para incluir o vídeo que falei acima.

PS.: Os links e itens de mídia inseridos nos artigos, não ficam gravados no WordPress, ficam gravados no servidor do Apture, por isso, caso remova o plugin, removerá todos esses itens. Para ver os itens, a pessoa não precisa ter conta no Apture, basta que possa executar javascript.


Avatar do BlogBlogs nos comentários

Avatar do BlogBlogs

Sempre gostei do Gravatar nos comentários, mas por diversos motivos, deixei de usá-lo.

Mas sempre quis colocar algo em seu lugar.

Como já disse, algumas vezes, é bom ver o rosto ou a personificação de quem você está conversando.

Como o blog é uma área de conversação, sempre senti muita falta disso.

Então, resolvi desenvolver um plugin para o WordPress que exibisse o avatar do perfil do Blogblogs.

Como esse blog é para blogueiros e o BlogBlogs vem cada vez mais agregando valor a blogosfera nacional (não estou nem ai se a “grande mídia” não gosta dessa palavra), por que não usá-lo?

Já está funcionando, tanto aqui quanto no Diversos.

Ainda existem algumas coisas a serem adequadas e solicitei ao Manoel que fizesse uma pequena alteração na API, que ele disse que providenciaria para hoje.

Ou seja, amanhã terei que modificar o plugin.

Como o plugin depende da leitura de um arquivo XML, existe uma certa limitação nos servidores que ele vai funcionar, uma vez que cada servidor implementa regras de segurança diferentes e acaba restringindo o uso de algumas funções.

Atualmente, está funcionando com o curl, que a maioria dos servidores deve aceitar, já que o mesmo está se tornando um padrão, de qualquer maneira, devo acrescentar mais algumas formas de acesso para pode funcionar em quase qualquer servidor.

Mas para isso, eu precisaria de alguns beta testers, pois nem todas as maneiras de acesar arquivos externos estão disponíveis no meu servidor.

O objetivo seria mandar o arquivo, o beta tester ativaria o plugin e veria se funciona e se tem alguma sugestão para melhorar.

Quem quiser participar, por favor, responda nos comentários (não esqueça de preencher o endereço de e-mail).

Logo que o Manoel resolver a questão da alteração da API, enviarei o arquivo aos que se dispuserem a testar.

[BL]PHP[/BL] [tags]WordPress,Plugin,Avatar,BlogBlogs,Comentário[/tags]


Página 1 de 3123
Usando WordPress | Design por Elegant Themes