Um novo vírus disfarçado de atualização do programa Flash Player está causando problemas para alguns usuários da internet. O problema foi encontrado em sites criados em WordPress como o da cantora Elba Ramalho e da Polícia Militar do Pará, como informou ao Portal EBC o coordenador do Creative Commons no Brasil (cuja página também foi afetada), Ronaldo Lemos.

O vírus age da seguinte forma: ao acessar uma página na internet infectada, surge a mensagem de que seu plug-in do Adobe Flash Player está desatualizado. Você é, então, direcionado automaticamente para o suposto site do desenvolvedor da ferramenta, no qual pode fazer o download da versão atualizada. Se isso acontecer com você, atenção: o seu computador pode estar infectado.

Caso a situação aconteça com você, observe o endereço que aparece em seu navegador. Na versão falsa da página, em vez do link original, há um código numérico, como destacado no retângulo em azul na imagem abaixo. Para se proteger do arquivo malicioso, basta fechar o site sem instalar o aplicativo.
Fonte: Portal EBC

Nota da HostBits
Verificamos que esse tipo de ataque (code injection) geralmente é feito através de vulnerabilidades em plugins e temas do WordPress. Existem milhares de plugins criados e distribuidos por vários desenvolvedores em todo o mundo, devido a isso é impossível acompanhar todas as formas de proteger o WordPress.
Nesse link você poderá verificar milhares de vulnerabilidades dos plugins do WordPress, verifique a possibilidade de remover todos os plugins ou temas que utilizam o timthumb, veja o motivo no link (em inglês)

Se mesmo com o seu WordPress estando “blindado” com todos os plugins e recomendações de segurança necessários e mesmo assim os códigos continuaram aparecendo nos seus posts ou widgets, uma das razões pode ser a infecção local de um usuário que tenha acesso ao wp-admin, pois alguns malwares se aproveitam de cookies na máquina do usuário para distribuir o vírus.

Nossa recomendação é que sejam feitos todos os procedimentos abaixo para que você possa eliminar todas as possibilidades e finalmente descobrir de onde esta partindo o problema.

Recomendações:

• Mantenha seu WordPress atualizado, isso é válido para qualquer plataforma(WordPress, Joomla, Magento etc).
• Sempre baixe plugins direto do próprio WordPress(WordPress.org).
• Só use plugins e temas que são constantemente atualizados por seus desenvolvedores.
• Altere o usuário padrão do wordpress “Admin”.
• Altere o prefixo padrão das tabelas wp_ .
• Limpe todos os cookies e rode um antivírus em todas as máquinas dos usuários que possuem acesso ao painel administrador do WordPress(wp-admin).

Mais dicas de como proteger o seu Wordpres

O desempenho é um dos fatores importantes de um site bem sucedido. Nesse artigo você verá algumas dicas úteis, que podem ser usadas ​​para acelerar o WordPress e melhorar sua performance.

1 – Cache

Atualmente é quase que indispensável cache para um blog em WordPress.  Os recursos que o cache possibilita são vários: velocidade e melhor navegabilidade no seu blog, uma melhor experiência de agilidade pro leitor, diminuição de uso do hardware do servidor e a probabilidade do blog sofrer overload (sobrecarga) diminui. Como resultado disso você vai economizar na escolha do seu plano, desta forma seu blog poderá  passa um tempo maior em um servidor compartilhado até o momento em que precisar de uma VPS (Virtual Private Server ).

Recomendamos a instalação dos seguintes plugins de cache:

• DB cache reload fix
• Wp super cache ou Hyper cache
• WP Widget Cache

2- Otimize o MySQL

Você poderá otimizar o MYSQL do seu WordPress de duas maneiras, a primeira é instalando e utilizando o plugin WP-DBManager.
Após instalar o plugin WP-DBManager vá no menu Database, selecione Repair DB e clique em reparar, selecione a opção Optimize DB e clique em otimizar.

A outra maneira é fazendo a otimização manualmente via phpMyAdmin.
No phpMyAdmin da sua hospedagem selecione o banco de dados do seu blog, em seguida na parte inferior, clique em “Check All” para selecionar todas as tabelas e em seguida, clique em “Optimize Table”.

3 – Domando o WPCron 

Sempre que alguém visita o seu site, o wp-cron.php será executado e isso acarretará em um uso desordenado e muitas vezes desnecessário causando mais processamento e uso de recursos no servidor e trazendo também lentidão ao site.

Deixá-lo habilitado da forma padrão só irá elevar o load do servidor  então o Cron só precisa ser executado quando você fizer alguma atualizações em seu WordPress, desabilitar o seu comportamento natural para ser executado a cada vez que um visitante acessar o seu site pode ser útil para reduzir o consumo de recursos do servidor.

Como desabilitar o wp-cron e rodar apenas como cronjob?

1. Abra o arquivo wp-config.php
2. Adicione a seguinte linha de código ao arquivo:

define('DISABLE_WP_CRON', 'true');

Agora em seu Cpanel crie uma tarefa cron para rodar o wp-cron:

1. Efetue login no cPanel
2. Clique no ícone “Cron Job”
3. Clique em “Add New Cron Job”
4. Clique no menu dropdown na opção “Hora:” defina como “A cada 6 horas (*/6)”
5. Vá para o campo de comando e digite o seguinte comando:

/usr/bin/php -f /home/USERNAME/public_html/wp-cron.php >/dev/null

Altere USERNAME pelo seu usuário do cpanel e o caminho se for necessário, por exemplo se o blog/site estiver instalado em outro diretório como /site ou /blog.

4 - Otimizando  wp-config.php

Desabilite a revisão de artigos

define('WP_POST_REVISIONS', false);

Configurar tempo dos salvamentos automáticos

define('AUTOSAVE_INTERVAL', 600); // Valor em segundos

Desabilite o WP_DEBUG

define('WP_DEBUG', false);

5 - Diminua o número de consultas ao banco de dados

Ao invés de usar as template tags para requisitar chamadas no banco de dados, substitua-as por caminhos absolutos/estáticos.
No arquivo header.php do seu tema você verá varias tags que farão consultas ao banco de dados, como por exemplo o código abaixo:

<html xmlns="http://www.w3.org/1999/xhtml" <?php language_attributes(); ?>>
<head profile="http://gmpg.org/xfn/11">
<meta http-equiv="Content-Type" content="
<?php bloginfo('html_type'); ?>;
charset=<?php bloginfo('charset'); ?>" />

O código acima está fazendo várias consultas ao banco de dados que poderiam simplesmente ser colocadas em forma de texto. Tal como no exemplo abaixo:

<html xmlns="http://www.w3.org/1999/xhtml" dir="ltr">
<head profile="http://gmpg.org/xfn/11">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />

Abaixo algumas tags que você poderá substituí-las:

bloginfo('atom_url') // http://seudominio.com/feed
bloginfo('charset') // Charset utilizado(UTF-8, ISO-8859-1 ...)
bloginfo('html_type') // text/html
bloginfo('name') // Nome do Blog
bloginfo('pingback_url') // http://seudominio.com/xmlrpc.php
bloginfo('rss2_url') // http://seudominio.com/feed
bloginfo('stylesheet_url') // http://seudominio.com/wp-content/themes/tema/style.css
bloginfo('template_url') // http://seudominio.com/wp-content/themes/tema
bloginfo('url') // http://seudominio.com
wp_title() // Título do blog

Conclusão
Como essas dicas você aumenta a performance do seu site e evita problemas de indisponibilidade do seu blog/site devido ao uso excessivo dos recursos do seu plano de hospedagem.

Referencias
Guia de Otimização WordPress
WordPress Optimization/WordPress Performance

Quer ganhar dinheiro indicando clientes?
A Hostbits agora tem um programa de Afiliados. Só em se inscrever no nosso programa você já ganha R$5,00.

1. Vantagens e diferenciais do nosso programa:
Comissão eterna: você receberá 10% de todo pagamento feito pelo seu indicado, sem limite de valor ou tempo 100% automatizado: você só precisa indicar o site. Qualquer compra será computada exclusivamente através de um cookie;
Suporte: todo o suporte será prestado pela HostBits. Você só precisa indicar através de um link exclusivo em seu site, blog, campanhas de email, etc.;
Pagamento: após o envio dos dados da sua conta, você receberá via transferência bancária/DOC no prazo 72 horas.

2. Como funciona?
Consiste em um sistema onde o cliente indica outros clientes e recebe uma comissão pelo tempo em que a conta do indicado estiver ativa.

3. Poderia dar um exemplo?
Sim, se você indica alguém para um plano de R$100, você vai receber 10% de todos os pagamentos feitos por este cliente, pelo tempo em que a conta estiver ativa. Na prática, se você indicar apenas 10 pessoas e estas contratarem um plano de R$100, você receberá R$100 por mês de comissão sem fazer nada!

4. Quem pode participar?
Qualquer cliente HostBits.

5. Como faço para participar?
Acesse http://central.hostbits.com.br/affiliates.php para se cadastrar neste sistema e receber uma URL única onde você indicará e o sistema automaticamente converterá qualquer pedido para sua conta e pontuará a comissão.

6. Como e quando irei receber as comissões?
Sempre que sua conta atingir um saldo igual ou superior a R$100,00, você poderá solicitar o resgate do valor. O pagamento será efetuado através de transferência bancária/DOC*, ou revertido em créditos em sua área de cliente conosco.

*Será reduzido R$10 caso seja necessário efetuar um DOC. Transferências para contas no Banco Itaú não serão taxadas.

WordPress é um CMS open source, o que significa que todos, incluindo os hackers com más intenções, podem vasculhar o código fonte em busca de falhas de segurança.

A integridade do blog deve ser uma das primeiras preocupações de quem pretende ter um blog WordPress, pois isso poderá causar um enorme transtorno a você ou sua empresa caso o seu WordPress seja invadido.

A seguir você verá algumas dicas de segurança para WordPress contra ação de hackers, que eu recomendamos aos nossos clientes:

 
Dica de Segurança 1: Sempre mantenha a versão do WordPress atualizada.

Como disse anteriormente, o WordPress é um CMS open source, tornando-se um alvo fácil para hackers.
Quando a equipe de desenvolvimento do WordPress lança uma atualização, quanto mais cedo você atualizar o seu blog,  melhor. Isso porque quando eles lançam novas atualizações, eles divulgam quais foram a melhorias e falhas corrigidas na versão atual.

Atualizações são lançadas para melhorar a funcionalidade do site e corrigir falhas de segurança encontradas no código, seja o WordPress, Plugin, ou Tema.

 
Dica de Segurança 2: Remova a meta tag que revela a versão do seu WordPress.

Por padrão, o WordPress exibe a sua versão no cabeçalho do blog(header.php), é uma forma que equipe de desenvolvimento do WordPress tem para ver quantas pessoas estão usando a versão, etc …
No entanto, isto é um grande atrativo no seu site dizendo ao hacker o que ele tem que fazer, já que dessa forma ele saberá exatamente qual a versão do WordPress que você usa em seu blog.

Em alguns temas(poucos) as probabilidades são de que o desenvolvedor tomou a precaução de remover a meta tag
<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />  que fica dentro do arquivo header.php, mas é sempre melhor ter a certeza, então abra seu arquivo functions.php e adicione a linha abaixo:
<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

 
Dica de Segurança 3: Não utilize o login padrão “admin” do WordPress.

Ao fazer uma nova instalação do WordPress em sua hospedagem, automaticamente é criado um usuário chamado “admin”, que passa a ser o usuário “master” do site e que tem permissão a tudo dentro do painel de controle do seu WordPress.

Se você utiliza esse usuário “admin”, provavelmente  você já fez metade do trabalho para o hacker, pois agora ele só precisa adivinhar a senha de acesso, que se for fraca, provavelmente ele irá descobrir fazendo várias tentativas de acessos por força bruta (robôs que tentam várias senhas aleatórias até descobrir).

Para evitar esse acesso não autorizado, altere o usuário “admin” para outro nome mais difícil de ser adivinhado, sugiro a não utilizar nada relacionado ao seu nome ou o domínio do site, também utilize letras maiúsculas e números para esse usuário.
Você pode fazer essa alteração de duas formas:

• Diretamente no banco de dados, acessando o seu mysql e alterando na mão o login admin pelo outro;
• Ou simplesmente criando um novo usuário com poderes máximos, logando com esse outro usuário e em seguida apagando o admin.

 
Dica de Segurança 4: Sempre utilize senhas “fortes”.

É recomendado o uso de senhas que contenham números (0-9), letras (A-Z) e caracteres especiais (#$&*@!) ao mesmo tempo e com no mínimo 12 caracteres.

Abaixo algumas dicas para você tomar alguns cuidados com suas senhas:

• Use sempre senhas seguras para o acesso ao banco de dados.
• Use sempre senhas seguras para os usuários do WordPress.
• Nunca salve a sua senha em lugares públicos, como lanhouses.
• Utilize  uma ferramenta de gerenciamento de senhas como Keppass, para salvar suas senhas de forma segura.

Você poderá adicionar uma camada extra de segurança para proteger o acesso ao admin do seu WordPress. Um plugin muito útil é Login LockDown, que registra o endereço IP e data e hora de todas as tentativas falhas de login no WordPress, além de bloquear o IP após um determinado número de logins que falharam. Este plugin é extremamente útil quando contra um ataque de força bruta, já que bloqueia o IP por um tempo determinado de quem executa o ataque de força bruta.

No vídeo abaixo um exemplo de Brute-force attack no Worpress:

Dica de Segurança 5: Cuidado com as permissões dos arquivos e  pastas.

Sempre mantenha a permissão dos arquivos definidos para 644 e pastas definidas para 755.
Após instalar o WordPress, defina as permissões seguras em suas pastas e arquivos, para impedir que usuários maliciosos injetem exploits em sua hospedagem.

A HostBits não permite o uso de permissões 777 em arquivos que são processados “server-side” (isto é, do lado do servidor, como scripts PHP). Sabemos que as documentações de alguns scripts, porém, requerem que você utilize permissões 777, mas garantimos que permissões 755 funcionarão tão bem quanto as 777.

Saiba mais sobre permissões de pastas e arquivos no Worpress:
http://codex.wordpress.org/Changing_File_Permissions

Dica de Segurança 6: Mantenha seu WordPress enxuto.

Existem dois arquivos dentro do diretório do WordPress que são desnecessários após a instalação, são eles o readme.html  e install.php.

O arquivo readme.html contém a versão do WordPress você está utilizando, conforme falamos aqui no item 2, isso pode ajudar um hacker a explorar falhas no seu WordPress. Este arquivo é desnecessário e pode ser excluído, ele está localizado na raiz do seu Worpress. (Lembre-se, esse arquivo reaparecerá sempre que você efetuar uma atualização da versão do WordPress).

O script de instalação install.php é usado quando você instala o WordPress, ele cria as tabelas e define as suas preferências. Você pode apagar esse arquivo sem problemas, ele está localizado no diretório /wp-admin.

Remova os plugins e temas que não estão sendo utilizados:
Se não está usando algum plugin ou tema,  não basta você desabilitá-los, preferencialmente delete-os do seu WordPress. Isso é importante porque, muitos hackers tem invadido blogs e sites WordPress através de vulnerabilidades conhecidas nos plugins e temas do WordPress.

Dica de Segurança 7: Desabilite o registro de novos usuários.

Desta forma, você impede o acesso ao seu painel administrativo por qualquer um. Para desabilitar, vá em Geral e desmarque a opção Qualquer pessoa pode se registrar, ou faça o backup do arquivo wp-register.php e delete-o do servidor.

Dica de Segurança 8:  Desabilite o WP_DEBUG.

WP_DEBUG é uma variável global que permite ao desenvolvedor, debugar a aplicação. Normalmente esquecemos de desabilitar essa variável e não é interessante deixar essas informações de depuração visível no seu site, uma vez que isso ajudaria bastante um hacker em potencial explorar alguma falha no código do seu WordPress. Para desabilitar a variável  WP_DEBUG, edite o arquivo  wp-config.php e altere de true para false.
define(‘WP_DEBUG’, false);

Dica de Segurança 9:  Regras de segurança para utilizar no arquivo .htaccess.

Adicione no seu arquivo .htaccess os comandos abaixo. Se esse arquivo não existir, você pode criá-lo, tomando cuidado para não sobrescrever um existente, ou sua instalação do WordPress pode não funcionar corretamente. O arquivo deve estar na pasta principal da instalação do WordPress (a mesma pasta em que está o wp-config.php).

//Bloqueia a listagem de arquivos em suas pastas
Options All -Indexes

//Protegendo o arquivo .htaccess,
//isso é feito por padrão com o arquivo de configuração do apache,
//mas nunca se sabe, então é melhor garantir.
<files .htaccess>
order allow,deny
deny from all
</files>

// protegendo o arquivo wpconfig.php.
<files wp-config.php>
order allow,deny
deny from all
</files>

Dica de Segurança 10:  Plugins para segurança no WordPress.

Recomendamos que instale o plugin WP-Security WebsiteDefender.   O plugin é gratuito, ele faz o monitoramento do seu site para falhas de segurança e informa como corrigir essas falhas.

Dica de Segurança 11:  Sempre faça backups.

Infelizmente alguns clientes só percebem a importancia de realizar backups do seu site quando é tarde demais e acabam tendo que gastar com a recuperação de algum backup disponível dentro dos servidores de backups da HostBits.

A HostBits não é responsável por arquivos e/ou dados que residam em sua conta. Você concorda em tomar toda a responsabilidade pelos arquivos e dados tranferidos e manter backups de todos os dados armazenados nos servidores da HostBits. A HostBits realiza backups diários e semanais em todos os servidores de hospedagem compartilhada e Revenda para garantir que os arquivos nunca serão perdidos. Os backups diários e semanais que mantemos são para fins de emergência. Entram nesta rotina contas de até 5GB de dados e que possuem até 100.000 arquivos. O conteúdo do backup diário é sobrescrito a cada dia e o conteúdo do backup semanal é sobrescrito a cada final de semana.

Existem vários plugins de backups que você poderá configurar no seu WordPress, para realizar seu próprio backup. É altamente aconselhável que você transfira esse backup para uma mídia fora do servidor onde esta hospedado o seu site.
Você também poderá solicitar um contato comercial, para saber mais informações sobre planos de backups disponíveis na HostBits.

Os desenvolvedores do WordPress anunciaram uma atualização que corrige 37 bugs e três vulnerabilidades de segurança, incluindo duas de cross-site scripting.
Problemas de segurança corrigidos nessa atualização incluem uma falsificação de solicitação do lado do servidor que permitia a exposição de informações através de pingbacks. De acordo com os desenvolvedores, essa vulnerabilidade poderia ajudar invasores a comprometerem um site em WordPress sem correção. Vulnerabilidades de cross-site scripting foram corrigidas na biblioteca Plupload, no shortcode e no manuseio de conteúdo de posts. O problema em questão encontra-se em todas as versões do WordPress anteriores à 3.5.1. Portanto é altamente recomendável que todos façam a atualização para a versão mais recente do WordPress.
Para fazer a atualização do WordPress você deve acessar sua área de Administração do WordPress e entrar em “Atualizações”, ou se preferir, poderá fazer manualmente baixando direto do site do desenvolvedor.

• WordPress 3.3.1 – Português do Brasil
• WordPress 3.3.1 – Inglês

Você pode encontrar as notas e detalhes da versão 3.3.1 na página oficial do desenvolvedor.

O profissional será responsável pela prospecção de novos clientes, follow-up e acompanhamento das carteiras de clientes ativos.

Habilidades e perfil esperados:

Estar com curso superior em andamento ou recém concluído, experiência em negociação e vendas preferencialmente com vivência na área comercial de preferência na área de internet / TI.

O profissional será cobrado por cumprimento de metas, habilidades de relação interpessoal, organização, foco em resultados e dinamismo.

Oferecemos um modelo de remuneração diferenciado com salario fixo mais comissão. É desejável veiculo próprio (carro ou moto) com reembolso de combustível por quilometragem.

Interessados devem enviar currículo para rh@hostbits.com.br.

Prezado cliente,

Conforme resolução do Comitê Gestor da Internet no Brasil – www.cgi.br -Resolução CGI.br/RES/2009/001/P, todos os provedores de acesso a internet estão procedendo o bloqueio do uso da porta 25 para envio de e-mails.

Para os nossos clientes que utilizam programas de gerenciamento de e-mails como o Outlook, Thunderbird, Mail ou similares, será necessário configurá-los para utilizar a porta 587 (SMTP). Os usuários que utilizam o webmail não são impactados.

Informamos que este bloqueio é realizado no provedor de conexão à internet (GVT, OI, NET etc.).

A recomendação é do Comitê Gestor da Internet no Brasil (CGI.br) pois grande parte dos e-mails falsos (SPAM) são enviados pelo abuso da porta 25 e a nova configuração reduzirá sensivelmente o número de spams, golpes e outros crimes cibernéticos no Brasil trazendo benefícios e mais segurança para todos os usuários da rede.


A HostBits está alinhada e associada a todas as recomendações e melhores práticas globais e do Comitê Gestor da Internet no Brasil de forma a garantir sempre o mais alto padrão de serviços e segurança para os nossos clientes.

Mais informações sobre o projeto, por favor, acesse o site http://antispam.br

Qualquer dúvida nossa equipe de suporte está à sua disposição.

-   Conhecimento em Linux RedHat, Centos, Debian

-   Familiaridade com arquivos de logs para resolução de problemas

-   Conhecimento sobre virtualização (XEN de preferencia)

-   Conhecimento em Redes: Ping, Trace, Nslookup, DNS, Noções de regras de Firewall;

-   Conhecimentos em programação Shell Script

-   Conhecimento sobre TCP/IP;

-   Conhecimento sobre a operação prática de clientes de email (outlook) e webmail;

-   Conhecimentos sobre a operação prática do cPanel/WHM;

-   Conhecimentos básicos sobre hospedagem de sites;

-   Habilidades interpessoais para relacionamento com clientes;

-   Vontade de desenvolver uma carreira em uma empresa 100% de internet;

-   Disponibilidade de inicio imediato;

-   Carga horária de oito horas.

Avaliação de desempenho com 3 e 6 meses e possibilidade de efetivação na empresa. Valores de bolsa e benefícios serão fornecidos no processo de seleção.

Aplicativos que podem sofrer problemas com a atualização:
Joomla;
Moodle;
Xoops;
Magento;
Alguns temas para WordPress ou Joomla podem aparecer erros.

Em caso de dúvidas e informações adicionais, nossa central de atendimento estará à disposição para esclarecimentos.

Lembro-me de solicitar suporte aos sábados, domingos e até mesmo em feriados e o atendimento de pronto foi nos dado com a máxima atenção e dedicação que só uma empresa como a HostBits tem a oferecer para nós clientes. Nunca deixaram de super bem nos atender, podemos dizer que ao longo do tempo passamos a manter uma relação de amizade, pois a HostBits já quebrou muitos galhos para nós, e não foram poucos.

Vida longa e sucesso à HostBits :D

Rodrigo Henrik – www.DigitalMarkketing.com