Timthumb um perigo, principalmente para wordpress

Postado em por Cláudio Garcia (suporte técnico)

Foi descoberta uma vulnerabilidade em um script muito usado nos themes pagos e grátis de wordpress, o timthumb.php, notamos que alguns clientes usam e estamos nos esforçando para notificar a maioria por email, se você foi notificado, não há motivo para pânico, essa é uma medida preventiva.

Caso você não tenha recebido nosso aviso e queira se certificar que se está vulnerável verifique a existência dos arquivos timthumb.php, thumb.php ou tim.php em seu diretório wp-content/themes/seu-theme (isso pode ser feito facilmente pelo nosso gerenciador de arquivos).

Outro teste que você pode fazer para descobrir se seu theme usa esse script é olhar o código fonte (ctrl + u em seu browser) e procurar no código (ctrl + f) com o nome dos arquivos acima.

Caso você encontre, aconselho que você remova o arquivo pelo gerenciador de arquivos do cPanel, caso isso faça com que as imagens de sua página parem de carregar possivelmente você terá que adequar seu site ao não uso do script problemático.

O que é timthumb.php

Trata-se de um script que redimensiona e corta as imagens do post para o uso no layout, não é de uso exclusivo dos themes wordpress, mas é muito utilizado neles.

Qual o risco?

A vulnerabilidade está sendo usada atualmente para inserção de links maliciosos (que geram problemas e notificações do google, avast, etc), scan de arquivos, inserção de códigos e arquivos no servidor, no entanto as possibilidades de ataque são várias, não as cabe lista-las aqui.

Recebi o aviso de vocês por email, o que devo fazer?

Nos responda com dados de acesso que avaliaremos seu caso e lhe informaremos as alternativas possíveis.

Encontrei em meu theme grátis, o que devo fazer?

Se você é nosso cliente envie um ticket que bloquearemos o arquivo no apache e lhe daremos algumas informações sobre como se proteger.

Encontrei em um theme pago, o que devo fazer?

Se você usa themes de alguma empresa internacional redobre os cuidados na busca do script e caso encontre solicite a eles uma versão segura de seu theme.

Segue nome de algumas famosas empresas de themes pagos que usam o script:

Woo Themes
Templatic
Elegant Themes
Theme Shift
Theme Lab

Abaixo segue links com informações sobre essa vulnerabilidade em vários portais renomados:

http://www.zdnet.com
http://www.pcworld.com
http://www.geek.com
http://www.theregister.co.uk

Atenção, estamos proibindo definitivamente o uso desse script, caso você encontre e continue a utilizar por conta e risco ou e de alguma forma tente burlar a proibição suspenderemos ou baniremos sua conta pelo bem do servidor.

Por hora estamos apenas avisando e solicitando a remoção, em breve haverá o bloqueio e remoção dos arquivos.

Autor da foto do post

WordPress 3.2 cheio de novidades

Postado em por Cláudio Garcia (suporte técnico)


A nova versão do WordPress, chamada de Gershwin, veio cheia de novidades, dentre elas a mais chamativa é o novo design da área administrativa, com destaque para a nova tela de edição, toda limpa. Também foram implementadas melhorias na velocidade na área administrativa, e novo theme padrão, com novas opções de personalização.

Você encontra mais informações sobre essa nova versão aqui e no ótimo vídeo abaixo.

Curiosidade, o nome dessa versão é Gershwin em homenagem ao pianista George Gershwin.

foto

Instabilidades em 16/06/2011 :(

Postado em por Cláudio Garcia (suporte técnico)

Infelizmente passamos por problemas hoje, dia 16/06/2011.

Não há ninguém que odeie mais instabilidade quanto nós, no entanto, um dos servidores ficou por vários minutos fora do ar. (~15 minutos)

O problema foi causado por uma atualização de nosso sistema, ela estava agendada para acontecer durante a madrugada, mas acabou acontecendo durante o horário comercial, e infelizmente esse erro aconteceu por uma falha humana.

Faremos o possível para que esse fato não se repita, aqui a estabilidade é levada realmente a sério.

Desculpe-nos os possíveis transtornos causados por essa falha.

foto

Manutenção programada (25/05/2011)

Postado em por Cláudio Garcia (suporte técnico)

Hoje haverá uma pequena manutenção nos servidores host1.brasilserv.com e host2.brasilserv.com.

Os servidores mencionados ficarão ao menos 15 minutos offline nessa madrugada (25/05/2011).

Os motivos são a atualização de vários sistemas internos, além da instalação do MemCached. Também iremos atualizar a versão do eAccelerator instalado atualmente.

Após a manutenção nossos servidores terão um melhor desempenho com os plugins de cache do wordpress.

Manutenção concluída, não houve downtime significativo. obrigado.

Hospedagem com wordpress já instalado

Postado em por Cláudio Garcia (suporte técnico)

Não quer se preocupar em instalar o wordpress? Marcando a opção “wordpress instalado” além de todos os dados de acesso de sua hospedagem você recebe um usuário e senha de seu wordpress.

Estamos avaliando a viabilidade de inserir mais alguns gerenciadores de conteúdo nessa opção, em breve mais novidades :)

Aviso: mesmo não marcando essa opção sua hospedagem sempre estará otimizada e compatível com o wordpress, nesse caso você mesmo deverá instalar.

Contratar hospedagem: http://brasilserv.com/solicitar

Novo design do nosso cPanel

Postado em por Cláudio Garcia (suporte técnico)

O design do cpanel foi renovado, agora ele está muito mais parecido com o nosso site.

A disposição dos elementos continua a mesma, até para não confundir os usuários que já estão acostumados com as posições.

Espero que gostem, se encontrar alguma dificuldade entre em contato com nosso suporte.