Nossos Termos de Serviço sofreram uma pequena adição, tornando mais clara nossa política de upgrades e downgrades de pacotes.

Como era antes

Até poucos dias atrás, quando um cliente precisava de upgrade, nós alterávamos o pacote de serviços e atualizávamos o valor da mensalidade seguinte, não cobrando o restante do mês em curso. O valor que deixávamos de cobrar por “camaradagem” ficava a título de cortesia.

Da mesma forma, quando um cliente fazia downgrade não fazíamos devolução de nenhum valor, porém a atualização efetiva do plano de hospedagem acontecia apenas no primeiro dia do ciclo de cobrança subsequente.

Como ficou

A partir de agora todo downgrade ou upgrade implica devolução ou cobrança “pro rata” dos valores relativos aos dias restantes até a finalização do ciclo de cobrança em curso.

No caso de downgrade, é gerado um crédito imediatamente, que será aplicado como abatimento na próxima fatura que o sistema gerar.

No caso de upgrade o sistema gera uma fatura relativa à diferença de valores mensais para os dias restantes do ciclo de cobrança em curso.

A razão da mudança

Estamos implementando esta mudança para aumentar ainda mais a transparência em nossas relações com os clientes. Efetivando as mudanças de plano imediatamente e fazendo na mesma hora o acerto financeiro estaremos privilegiando a clareza, sem dar espaço a dúvidas quanto à precisão do procedimento.

• Enviar por email
• Compartilhar no Orkut
• Compartilhar

O Dia do Trabalho está chegando, e nesta ocasião vamos aproveitar para trabalhar um pouquinho menos, e ficar na companhia de nossos entes queridos.

Desejamos a todos que possam descansar e divertir-se com responsabilidade neste período, e queremos anunciar o horário especial de funcionamento de nosso suporte técnico para os primeiros dias de maio de 2013.

• Dia 1º de maio (quarta-feira, feriado): não haverá expediente; chamados serão monitorados e somente em casos de servidor offline designaremos um técnico para verificação do problema.
• Dias 2 e 3 de maio (quinta e sexta-feiras): o suporte funcionará em horário reduzido, das 10h às 14h; será mantido o monitoramento para casos de emergência, conforme especificado acma.
• Dias 4 e 5 de maio (sábado e domingo): não haverá expediente, nos mesmos critérios do dia do feriado.

Caso ocorra algum evento que implique deixar alguma máquina offline neste ínterim prevalecerão as regras de nossa garantia de uptime (caso o downtime total seja superior a 7h 12min no mês, faremos a restituição do valor proporcional da mensalidade em dobro).

Estamos certos de que não haverá problemas nestes dias, e nos colocamos à sua disposição para qualquer esclarecimento por meio de nosso formulário de suporte.

• Enviar por email
• Compartilhar no Orkut
• Compartilhar

O JetPack Photon (leia o que já escrevemos sobre ele) é um excelente jeito de otimizar qualquer site em WordPress que seja baseado em imagens. Por se tratar de uma CDN de alto desempenho, ele ainda ajuda a economizar banda, além de acelerar a carga das páginas.

Todavia, nem tudo são flores. Qualquer um que tenha tentado usar o Photon em conjunto com imagens GIF (principalmente as animações) já passou pela frustração de ver que teria de fazer uma escolha entre usar a CDN ou usar as animações no blog.

Porém, incomodada ficava sua avó. Agora nós contamos com a versão mais nova do Photon, que implementou um filtro que permite ao programador decidir a cada imagem se ela deve ou não ser repassada para a CDN. Há promessas de que na versão vindoura exista até uma interface gráfica para facilitar esse trabalho.

Por enquanto, tudo o que é necessário fazer para evitar que o Photon atue em suas imagens GIF é adicionar o seguinte código ao functions.php do seu tema:

1
2
3
4
5
6
7
8
9

// Faz o Jetpack Phothon ignorar imagens gif
 
function my_photon_exception( $skip, $src ) {
        $src = strtolower($src);
        if ( strpos( $src, '.gif' ) !== false  ) return true;
 
        return $skip;
}
add_filter( 'jetpack_photon_skip_image', 'my_photon_exception', 10, 3 );

É claro que você pode implementar a lógica que desejar, este é apenas o exemplo mais básico (e provavelmente mais útil) que poderíamos apresentar.

Mandamos um agradecimento especial à galera do Samurai LOL, que encontrou a documentação sobre o novo filtro e compartilhou conosco para que consertássemos suas galerias de imagens.

• Enviar por email
• Compartilhar no Orkut
• Compartilhar

Um dos componentes mais importantes de qualquer servidor (ou até mesmo de qualquer computador) na Internet atualmente é o firewall. Ele é o responsável por filtrar que conexões efetivamente outros dispositivos na Internet podem ou não fazer a uma certa máquina (ou rede, ou conjunto de máquinas ou de redes, etc).

Normalmente o firewall sozinho é muito útil, mas com serviços de apoio ele pode se tornar muito mais inteligente, passando a bloquear (ou desbloquear) IPs de acordo com o seu comportamento.

Um exemplo é o nosso detector de DDoS: a cada minuto ele conta quantas conexões cada IP externo tem com um dado servidor; se o valor for acima de um limite seguro definido por nós, o IP é então, e somente então, bloqueado definitivamente no firewall.

Outro exemplo são os bloqueios por erros de senha: caso um determinado IP tente conexão com os serviços essenciais do servidor (SSH, WHM, cPanel, etc) e erre a senha mais do que cinco vezes no intervalo de um minuto — valores arbitrados por nós — o IP será bloqueado também, impossibilitando totalmente que tal máquina acesso o servidor (o que serve para debelar tentativas de invasão por força bruta, onde um programa fica tentando “adivinhar” a senha à força).

Na maior parte das vezes o firewall e seus serviços auxiliares fazem seu trabalho de maneira silenciosa, quase sem ocupar recursos do servidor.

Entretanto, algumas atividades dos “crackers” podem contar com bem mais do que um único IP (um exemplo extremo é a botnet de 90.000 máquinas que anda atacando blogs WordPress), e o administrador do sistema pode decidir ampliar os bloqueios preventivos para evitar de entrar em um “jogo de gato e rato” por causa de tentativas de invasão.

Os motivos podem ser muitos, mas — estatisticamente falando — o fato é que as redes mais usadas para tentar ataques contra os nossos servidores são da China, da Coréia do Sul, da Índia, da Turquia e de Taiwan. Algumas máquinas têm mais “sorte” com outros países, mas em todos os casos os IPs chineses são, numericamente, os mais ofensivos.

Tendo isso em conta, alguns clientes solicitam o bloqueio total destes países no firewall, uma vez que o conteúdo destes clientes é voltado para os mercados de língua portuguesa, e que os acessos legítimos oriundos desses países são desprezíveis ante o inconveniente e a ameaça que representam essas redes que estão o tempo inteiro tentando obter acesso de maneira ilícita aos servidores.

Normalmente nós entramos em contato com cada cliente e sugerimos o bloqueio de países quando a situação está crítica. Se você quiser saber da possibilidade de bloquear algum país no seu servidor, ou qualquer outra dúvida ou requisição, abra um chamado e teremos prazer em ajudar.

• Enviar por email
• Compartilhar no Orkut
• Compartilhar

É notória a quantidade de “vírus” e “malware” existentes para o ambiente Windows, a ponto de muitos considerarem este como o pior sistema operacional existente na atualidade. Mas de fato, o que propicia a proliferação destas ameças e “pragas virtuais” é exclusivamente a popularidade do sistema: segundo a Wikipedia aproximadamente 92% dos computadores do mundo usam alguma versão do Windows.

No caso do WordPress acontece fenômeno semelhante: ele é disparado a mais popular plataforma de blogs em uso atualmente; a grande oferta de plugins e temas existentes, e a facilidade de se programar em cima do WP para adicionar funcionalidades o tornam ainda mais atraente, o que deve confirmar sua popularidade por ainda mais alguns anos. Esta mesma popularidade o torna alvo de todo tipo de gente mal intencionada, cujo objetivo é explorar vulnerabilidades que possam levar ao controle da máquina.

A título de curiosidade: muito poucos são os crackers que invadem sistemas alheios para praticar desfiguração de sites; a maioria deseja mesmo é permanecer oculta pelo máximo de tempo, para poder roubar recursos computacionais dos servidores, normalmente para enviar spam ou para rodar servidores de jogos ou de IRC.

O que está prestes a acontecer (na verdade, dizem que já está acontecendo) é que uma botnet com 90.000 (isso mesmo, noventa mil) máquinas está programada para fazer ataques de força bruta contra blogs WordPress. As máquinas da botnet tentam invadir o WP utilizando o usuário admin, a partir do que podem inserir códigos maldosos nas contas de hospedagem, vindo a criar uma rede não de PCs zumbis, mas de servidores zumbis, o que é muito mais preocupante porque servidores costumam ter poderosas conexões de rede, e não raro hardware de sobra para as necessidades dos sites rodando neles.

A situação parece preocupante, e realmente é. Mas você pode e deve tomar atitudes relativamente simples para proteger seus blogs.

Como proteger seu blog WordPress

Utilizar senhas fortes

A recomendação mais óbvia também é a mais importante: utilize senhas fortes na Internet. Se não tiver paciência para inventar uma senha forte, utilize o Gerador de Senhas da Via Hospedagem.

Já falamos sobre a importância de senhas fortes, e agora adicionamos mais algumas informações.

Uma senha forte vai ter no mínimo as características abaixo:

• não parecerá óbvia a um estranho que a veja;
• terá pelo menos 8 caracteres de tamanho (quanto mais melhor);
• alternará algarismos e letras do alfabeto.

As características abaixo são desejáveis para tornar a senha ainda mais forte:

• incluir algarismos e letras maiúsculas e minúsculas;
• melhor ainda se incluir símbolos especiais, como sinais de pontuação e de operações matemáticas.

Da mesma forma, é importante que nenhum blog tenha um usuário com o nome “admin”, porque este é justamente o alvo do ataque, e só o é devido à má prática dos blogueiros de não se preocuparem com os usuários de seus WPs.

Ocultar a área administrativa

Os crackers não vão perder tempo em tentar invadir blogs que tenham seus links de login e área administrativa em locais fora do padrão, já que para cada um que faz isso há milhares que não estão nem aí para a possibilidade.

Limitar as tentativas de login errado

Configurar uma quantidade máxima de tentativas de login, após as quais o IP será impedido de novas tentativas, pode ser fundamental para manter a saúde de seu WordPress (conforme já falamos anteriormente também).

Um plugin para tudo isso

Para todas as fraquezas acima mencionadas, as respectivas correções podem ser obtidas com o plugin Better WordPress Security. Há um excelente tutorial a respeito dele no site da Via Hospedagem: Segurança WordPress: protegendo a casa com o Better WP Security.

Ajuda externa

Para quem quiser reforçar as defesas contra este tipo de ataque há ainda duas medidas adicionais que podem ser tomadas.

• Usuários de máquinas cPanel podem tirar vantagem do ModSecurity, com regras específicas para tratar deste problema. O processo de inclusão desta regra nos servidores dos clientes já começou, e nas próximas horas todos estarão com a devida proteção ativa.
• Todos os usuários do WordPress podem defender seus blogs deste ataque ativando a CloudFlare em seus domínios. Até mesmo as contas gratuitas contam com proteção para este ataque.

Ajuda adicional

Caso precise de ajuda para dar segurança ao seu WordPress, ou tenha alguma dúvida sobre o assunto, basta abrir um chamado e teremos prazer em ajudar.

• Enviar por email
• Compartilhar no Orkut
• Compartilhar