Vídeo: CUIDADO - Não Atualize Seu Wordpress Para Versão 5.0 Antes De Ver Este Vídeo, Ok? (Outubro 2024)
Se você possui um site WordPress, verifique se está atualizado sobre as atualizações - não apenas para a plataforma principal, mas também para todos os temas e plugins.
O WordPress fornece mais de 70 milhões de sites em todo o mundo, tornando-o um alvo atraente para cibercriminosos. Os invasores frequentemente sequestram instalações vulneráveis do WordPress para hospedar páginas de spam e outros conteúdos maliciosos.
Pesquisadores descobriram uma série de vulnerabilidades sérias nesses plugins populares do WordPress nas últimas semanas. Verifique o painel do administrador e verifique se as versões mais recentes estão instaladas.
1. MailPoet v2.6.7 disponível
Pesquisadores da empresa de segurança da Web Sucuri encontraram uma falha remota no upload de arquivos no MailPoet, um plug-in que permite aos usuários do WordPress criar boletins, postar notificações e criar respostas automáticas. Anteriormente conhecido como wysija-newsletters, o plugin foi baixado mais de 1, 7 milhões de vezes. Os desenvolvedores corrigiram a falha na versão 2.6.7. As versões anteriores são todas vulneráveis.
"Esse bug deve ser levado a sério; dá a um invasor em potencial o poder de fazer o que ele quiser no site da vítima", disse Daniel Cid, diretor de tecnologia da Sucuri, em um post no blog terça-feira. "Permite que qualquer arquivo PHP seja carregado. Isso pode permitir que um invasor use seu site para atrair phishing, enviar SPAM, hospedar malware, infectar outros clientes (em um servidor compartilhado) e assim por diante!"
A vulnerabilidade supunha que qualquer pessoa que fizesse uma chamada específica para carregar o arquivo fosse um administrador, sem realmente verificar se o usuário estava autenticado, concluiu Sucuri. "É um erro fácil de cometer", disse Cid.
2. TimThumb v2.8.14 disponível
Na semana passada, um pesquisador divulgou detalhes de uma séria vulnerabilidade no TimThumb v2.8.13, um plug-in que permite aos usuários cortar, ampliar e redimensionar imagens automaticamente. O desenvolvedor do TimThumb, Ben Gillbanks, corrigiu a falha na versão 2.8.14, que agora está disponível no Google Code.
A vulnerabilidade estava na função WebShot do TimThumb, e permitia que atacantes (sem autenticação) removessem remotamente páginas e modificassem conteúdo injetando código malicioso em sites vulneráveis, de acordo com uma análise da Sucuri. O WebShot permite que os usuários capturem páginas da Web remotas e as convertam em capturas de tela.
"Com um comando simples, um invasor pode criar, remover e modificar qualquer arquivo no seu servidor", escreveu Cid.
Como o WebShot não está ativado por padrão, a maioria dos usuários do TimThumb não será afetada. No entanto, o risco de ataques de execução remota de código permanece porque os temas, plugins e outros componentes do WordPress usam o TimThumb. De fato, a pesquisadora Pichaya Morimoto, que divulgou a falha na lista Full Disclosure, disse que o WordThumb 1.07, o WordPress Gallery Plugin e o IGIT Posts Slider Widget são possivelmente vulneráveis, assim como os temas do site themify.me.
Se você tiver o WebShot ativado, desative-o abrindo o arquivo timthumb do tema ou do plug-in e configurando o valor de WEBSHOT_ENABLED como false, recomenda a Sucuri.
Na verdade, se você ainda usa o TimThumb, é hora de considerar a eliminação gradual. Uma análise recente da Incapsula descobriu que 58% de todos os ataques de inclusão remota de arquivos contra sites WordPress envolviam o TimThumb. O Gillbanks não mantém o TimThumb desde 2011 (para corrigir um dia zero), já que a plataforma principal do WordPress agora suporta miniaturas de post.
"Eu não uso o TimThumb em um tema WordPress desde antes da exploração de segurança anterior do TimThumb em 2011", disse Gillbanks.
3. Tudo em um SEO Pack v2.1.6 disponível
No início de junho, os pesquisadores da Sucuri divulgaram uma vulnerabilidade de escalonamento de privilégios no All in ONE SEO Pack. O plug-in otimiza os sites WordPress para o mecanismo de pesquisa e a vulnerabilidade permite que os usuários modifiquem títulos, descrições e metatags, mesmo sem privilégios de administrador. Esse bug pode ser acorrentado com uma segunda falha de escalonamento de privilégios (também corrigida) para injetar código JavaScript malicioso nas páginas do site e "fazer coisas como alterar a senha da conta do administrador para deixar algum backdoor nos arquivos do seu site", disse Sucuri.
Segundo algumas estimativas, cerca de 15 milhões de sites WordPress usam o Pacote de SEO All in One. Sempre Fi, a empresa que gerencia o plug-in, lançou uma correção no 2.1.6 no mês passado.
4. Login Rebuilder v1.2.3 disponível
O Boletim de Segurança Cibernética US-CERT da semana passada incluiu duas vulnerabilidades que afetam os plugins do WordPress. O primeiro foi uma falha de falsificação de solicitação entre sites no plug-in Login Rebuilder, que permitiria que os invasores seqüestrassem a autenticação de usuários arbitrários. Essencialmente, se um usuário visualizar uma página maliciosa enquanto estiver conectado ao site WordPress, os invasores poderão invadir a sessão. O ataque, que não exigia autenticação, pode resultar na divulgação não autorizada de informações, modificação e interrupção do site, de acordo com o Banco de Dados Nacional de Vulnerabilidades.
As versões 1.2.0 e anteriores são vulneráveis. O desenvolvedor 12net lançou uma nova versão 1.2.3 na semana passada.
5. JW Player v2.1.4 disponível
O segundo problema incluído no boletim US-CERT foi uma vulnerabilidade de falsificação de solicitação entre sites no plug-in JW Player. O plug-in permite que os usuários incorporem clipes de áudio e vídeo em Flash e HTML5, bem como sessões do YouTube, no site WordPress. Os invasores poderiam seqüestrar remotamente a autenticação de administradores enganados em visitar um site malicioso e remover os players de vídeo do site.
As versões 2.1.3 e anteriores são vulneráveis. O desenvolvedor corrigiu a falha na versão 2.1.4 na semana passada.
Atualizações regulares são importantes
No ano passado, a Checkmarx analisou os 50 plug-ins mais baixados e os 10 principais plug-ins de comércio eletrônico do WordPress e encontrou problemas comuns de segurança, como injeção de SQL, scripts entre sites e falsificação de solicitação entre sites em 20% dos plug-ins.
A Sucuri alertou na semana passada que "milhares" de sites do WordPress foram invadidos e páginas de spam adicionadas ao diretório principal do wp-includes no servidor. "As páginas de SPAM estão ocultas dentro de um diretório aleatório dentro do wp-includes", alertou Cid. As páginas podem ser encontradas em / wp-includes / finance / paydayloan, por exemplo.
Embora a Sucuri não tenha "provas definitivas" de como esses sites foram comprometidos ", em quase todas as instâncias, os sites estão executando instalações desatualizadas do WordPress ou cPanel", escreveu Cid.
O WordPress possui um processo de atualização bastante indolor para seus plugins e para os arquivos principais. Os proprietários do site precisam verificar e instalar regularmente todas as atualizações. Também vale a pena verificar todos os diretórios, como o wp-includes, para garantir que arquivos desconhecidos não sejam instalados.
"A última coisa que qualquer proprietário de site quer é descobrir mais tarde que a marca e os recursos do sistema foram usados para atos nefastos", disse Cid.
