WordPress.com comprometido

No IDG Now!:

Segundo a Automattic, invasor obteve trechos do código-fonte da plataforma de blog.

Hackers tornaram vulneráveis diversos servidores que dão apoio ao WordPress e podem ter obtido código-fonte, de acordo com o fundador da Automattic, empresa por trás da popular plataforma de blogs.

Matt Mullenweg escreveu no blog do WordPress que a Automattic tem revirado os registros de logs para estimar quanta informação foi exposta e reavaliar as “avenidas de acesso” aos dados.

“Nós pressupomos que nosso código-fonte foi encontrado e copiado”, escreveu Mullenweg. “Boa parte é open source, mas há partes protegidas, nossas e de nossos parceiros. Fora isso, contudo, parece que a informação acessada foi limitada.”

Mullenweg escreveu que a empresa não tem conselhos específicos para os usuários do WordPress além de usar senhas fortes e não usar a mesma senha para vários sites.

Na seção de comentários do blog, um usuário perguntou se o WordPress armazena as senhas em texto puro ou usa técnica de hash. Mullenweg respondeu que o WordPress usa o arcabouço de hashing de senhas Portable PHP.

“Nossa investigação neste assunto está em andamento e levará tempo para ser finalizada”, escreveu. “Como disse acima, temos tomado medidas abrangentes para prevenir que um incidente como este ocorra novamente.”

A invasão ocorre em sequência do que a Automattic descreveu como o pior ataque de negação de serviço de sua história, no mês passado. Este ataque, no entanto, foi  frustrado logo depois de ter sido iniciado.

O Miguel Almeida recomenda no seu blogue o seguinte:

Entretanto, se tiverem contas no WordPress.com, mudem as passwords. Aliás, mudem as passes do WordPress.com, e, se tiverem ligações entre o WP e outros serviços (e.g. Twitter ou Facebook), mudem-nas também. (Se, por acaso, a vossa password do WordPress até é igual às passwords de outros serviços, bem, já sabem o que têm que fazer, certo? Mudá-las.)

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?