Category: php

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

21 de abril de 2023

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

A orientação de que devemos tomar cuidado com softwares antigos ou abandonados não é exagerada. Prova recente disso vem do Eval PHP. Esse é nome de um plugin para WordPress que não é atualizado desde 2012 e, agora, vem sendo usado para comprometer sites.

Eval PHP compromete segurança do WordPress (imagem ilustrativa: Vitor Pádua/Tecnoblog)

O Eval PHP permite que o administrador de um site em WordPress adicione códigos PHP diretamente em páginas ou postagens. O recurso pode ser usado para testar funções ou oferecer funcionalidades aos visitantes do site.

Por ser um plugin antigo e usado para um propósito muito específico, o Eval PHP é pouco usado atualmente. Mas a empresa de segurança digital Sucuri notou que, nas últimas semanas, vários sites estavam sendo infectados com um backdoor cujo código tem relação com o plugin.

A Sucuri constatou que, no final de março, o Eval PHP chegou a um pico diário de 7 mil downloads. Antes disso, o plugin raramente registrava um único download por dia. A companhia estima que, desde então, mais de 100 mil downloads já foram realizados.

Invasão silenciosa

O Eval PHP não se tornou popular de uma hora para outra. O número de downloads disparou simplesmente porque ele vem sem usado pelos invasores, não por administradores de sites.

Tudo começa quando o invasor insere um código malicioso na tabela “wp_posts” do banco de dados do WordPress. Para isso, ele usa uma conta de administrador comprometida, que também serve para que o plugin seja instalado.

Por meio do plugin, o código é injetado em páginas ou postagens do WordPress. Basta então ao invasor acessar esses links para o código ser executado. Quando isso ocorre, o backdoor é inserido na raiz do site.

Várias ações maliciosas podem ser executadas a partir daí, como disseminação de malware, captura de dados e ataques a outros sites.

Para evitar que as páginas e postagens comprometidas sejam descobertas, os invasores as salvam como rascunho. Assim, os links não aparecem na relação de conteúdo público do site.

O que torna todo esse esquema diferente de outros tipos de invasões é que, como o código malicioso é executado graças ao Eval PHP, é mais difícil o seu rastreamento por mecanismos de segurança.

Para piorar a situação, se o backdoor for removido, ele poderá ser inserido no site novamente após o simples acesso a uma das páginas ou postagens comprometidas.

Eval PHP está há mais de dez anos sem atualização (imagem: reprodução/Sucuri)

Medidas de segurança

Evitar o uso de softwares (aqui, plugins) desatualizados é uma das formas de se prevenir contra invasões. Se o Eval PHP recebesse manutenção, certamente os seus mantenedores encontrariam formas de evitar que o plugin fosse usado para execução de código malicioso.

Como no caso em questão o plugin é instalado pelo invasor, não pelo usuário, caberia aos mantenedores dos repositórios do WordPress adotar medidas preventivas. Por outro lado, é difícil para eles monitorar um universo tão grande de plugins.

É por isso que medidas complementares devem ser adotadas pelos administradores de sites. A Sucuri recomenda:

manter os recursos do site sempre atualizados;

proteger o painel de administração do WordPress com autenticação em dois fatores para dificultar acessos indevidos;

contar com um serviço regular de backup;

usar firewalls para bloquear bots e atenuar vulnerabilidades conhecidas.

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

Plugin abandonado é usado para atacar silenciosamente sites com WordPress
Fonte: Tecnoblog

Editor grátis de PHP, HTML, CSS, JavaScript – Codelobster IDE

2 de março de 2020

Editor grátis de PHP, HTML, CSS, JavaScript – Codelobster IDE

Neste artigo, iremos te mostrar um editor gratuito de linguagens da web, o Codelobster IDE. Esse editor que está no mercado há muito tempo e ganha muitos fãs.

O IDE Codelobster permite a você editar arquivos PHP, HTML, CSS e JavaScript. Ele destaca a sintaxe e fornece dicas para tags, funções e parâmetros. Este editor lida facilmente com os arquivos que contêm um conteúdo misto, ou seja, que contém mais de uma linguagem.

Se você inserir o código PHP no seu modelo HTML, o editor destacará corretamente as tags HTML e as funções PHP. O mesmo se aplica ao código CSS e JavaScript, que está contido nos arquivos HTML.

O programa inclui a função de preenchimento automático, que acelera bastante o seu trabalho de programar e elimina a possibilidade de erros.

O IDE Codelobster fornece ajuda contextual em todas as linguagens de programação suportadas, porque ele usa a documentação mais atualizada no momento, baixando-a de sites oficiais. Assim, podemos obter rapidamente uma descrição de qualquer tag HTML, atributo CSS, função PHP ou JavaScript pressionando a tecla F1.

O depurador PHP integrado permite executar scripts PHP passo a passo, movendo-se sequencialmente pelas linhas de código. Você pode atribuir pontos de verificação, visualizar o processo de trabalho de loops e monitorar os valores de todas as variáveis ​​durante a execução do script.

Você pode visualizar os modelos HTML diretamente no editor, destacar os elementos interessantes na página e explorar os estilos CSS associados. O inspetor HTML e CSS funciona de acordo com o princípio de todos os inspetores de códigos conhecidos.

Outras funções e recursos úteis do IDE:

Um par destacando parênteses e tags – você nunca precisará contar parênteses ou aspas, o editor cuidará disso.Destaque de blocos, seleção e recolhimento de trechos de código, indicadores para facilitar a navegação no arquivo editado, reconhecimento e construção da estrutura completa dos projetos PHP – essas funções garantem um trabalho fácil com projetos de qualquer escala.Suporte para 17 idiomas da interface do usuário, entre eles inglês, alemão, russo, espanhol, francês e claro, que o português-br.O programa funciona nos seguintes sistemas operacionais: Windows 7, Windows 8, Windows 10, Mac OS, Linux, Ubuntu, Fedora, Debian.

E a versão PRO do Codelobster IDE oferece ao programador ainda mais recursos.

Por exemplo, você tem a oportunidade de trabalhar com projetos em um servidor remoto com o uso do cliente FTP embutido. Você pode editar os arquivos selecionados, visualizar os resultados e sincronizar as alterações com os arquivos da hospedagem. Para quem trabalha com WordPress é uma mão na roda.

Além disso, a versão PRO inclui um extenso conjunto de plug-ins:

Suporte totalmente implementado para bibliotecas JavaScript, como jQuery, Node.js, AngularJS, BackboneJS e MeteorJS.Um grande conjunto de extensões que ajudam a trabalhar com estruturas PHP – CakePHP, CodeIgniter, Laravel, Phalcon, Smarty, Symfony, Twig e Yii.Plugins para trabalhar com o CMS mais popular – Drupal, Joomla, Magento e WordPress.

Você pode baixar e instalar qualquer estrutura diretamente do programa sem nos distrair das tarefas principais.

O IDE Codelobster funciona rápido, não trava e nos permite trabalhar mesmo em grandes projetos PHP e com ótima avaliação dos seus usuários.

Acesse agora o site do Codelobster e faça o download do IDE Codelobster no site oficial http://codelobsteride.com.
The post Editor grátis de PHP, HTML, CSS, JavaScript – Codelobster IDE appeared first on Chief of Design.

Editor grátis de PHP, HTML, CSS, JavaScript – Codelobster IDE
Fonte: Chef of Design