Milhares de sites com o WordPress 2.5 foram invadidos, isso porque existia uma falha de segurança que foi corrigida com a versão 2.5.1. Se você ainda não atualizou seu blog saiba que corre sério risco. Se atualizou saiba como se prevenir de uma invasão. Veja também como identificar uma invasão.

Um blog hackeado significa uma provável remoção dos índices do Google.

Prevenindo Seu WordPress de Ataques de Hackers.

1. Esteja sempre com a última versão. Assine o blog de desenvolvimento do WordPress para ficar atualizado com as novidades.

2. Faça backups frequentes. Existe o backup dos arquivos do seu tema e também do seu banco de dados. Veja aqui como fazer.

3. Utilize uma senha segura tanto para o WordPress como para ftp, ssh e cpanel. O plugin Security Scan realiza uma série de testes de segurança no seu blog, além de ter uma ferramenta que gera senha segura.

4. Remova a conta com login admin da lista de administradores do WordPress. Crie um administrador com um login que só você saiba.

5. Utilize o plugin “AskApache Password Protect” para bloquear ataques a sua pasta wp-admin do WordPress.

6. Remova a informação de versão do wordpress do cabeçalho ou rodapé do seu tema (arquivos header.php).

7. Crie um arquivo index.html na pasta wp-contents/plugins porque desta forma ninguém vai saber quais plugins você usa.

8. Use o plugin Robots Meta para evitar que motores de buscas do Google, Yahoo, MSN naveguem pelas páginas erradas do seu blog.

Identificando o Ataque no WordPress.

1. Verifique se o seu feed é válido com a ferramenta feedvalidator.org. Este site ainda permite ver o código do seu feed e você deve procurar por domínios estranhos, informações que não foram escritas por você.

2. Abra os arquivos php do seu tema para procurar por códigos estranhos que apontam para sites desconhecidos.

3. Verifique a quantidade de arquivos na raiz do seu WordPress e compare com uma instalação nova (basta baixar o WordPress e descompactar) a fim de identificar arquivos alterados ou a mais.

4. Nas pastas da instalação do WordPress com permissão de escrita (755) procure por arquivos _old, .jpgg, .giff, ou extensões estranhas.

5. Procure novos usuários estranhos cadastrados na interface de administração do WordPress:
www.seublog.com/wp-admin/users.php

6. Verifique os logs de erros do cpanel.