Este post foi publicado há mais de noventa dias, e as informações aqui contidas podem estar desatualizadas ou mesmo não terem mais nenhuma validade. Não nos responsabilizamos por eventuais mal entendidos.Nos últimos dias temos presenciado uma verdadeira invasão de exploits na imensa e incalculável base instalada de blogs WordPress ao redor do mundo. É um assunto sério, grave, que atinge muitas pessoas, e que — infelizmente — está envolto em muito “misticismo” e ignorância.
Já veio gente procurar a PortoFácil, querendo trocar de hospedagem. Como sempre faço, perguntei o motivo da mudança, e essas pessoas culparam seus atuais hospedeiros pela invasão no WordPress. Eu adoro dinheiro, adoro meus clientes e quero pagar um milhão de Reais por mês de imposto de renda, mas não tem nada que me faça abrir mão da Ética, e precisamente por esta razão eu tive de dizer a estas pessoas que o problema não estava nos hosts, mas no WordPress propriamente dito.
Há mais de uma forma de exploração desta vulnerabilidade, mas não há, ainda, informações precisas sobre o modus operandi dos invasores, ou — o que realmente importa em última análise — como precaver-se deste tipo de problema. O fato é que a responsabilidade do hospedeiro, seja a PortoFácil, seja qualquer outro, é oferecer um ambiente seguro e funcional para os clientes rodarem seus sites. A cada webmaster cabe a responsabilidade por manter seus arquivos e senhas seguros, a fim de evitar “portas” abertas para invasões.
E é precisamente isso que o WordPress atualmente tem: uma porta escancarada para invasores fazerem a festa. É um problema do WordPress, e não da hospedagem, que ele permita se fazerem “injeções” de SQL que dão direitos de gravação nos arquivos do próprio WordPress, ou a ativação de plugins “fantasmas”.
Este é um dos grandes problemas de usar o mesmo software que a maioria usa. É o mesmo caso dos usuários do famigerado Windows, que perde em segurança e estabilidade para qualquer outro Sistema Operacional decente. Mas um dos fatores determinantes de suas incontáveis vulnerabilidades é a grande quantidade de usuários, que acaba atraindo atenção dos crackers (e não incompetência dos engenheiros da Microsoft: se a MS fosse uma empresa de incompetentes não teria a posição que tem no mundo hoje).
De minha parte continuo pesquisando, e quando tiver novidades informo meus clientes. De sua parte, caros VIPs, espero que mantenham suas instalações de WordPress o mais atualizadas possível, com o mínimo de plugins necessários e também atualizados. Quanto mais limpa for a instalação do seu blog, menores serão as chances de você, obviamente sem querer, abrir alguma porta indevida.