Brecha de segurança no Wordpress permite "sequestro" da conta

Por Redação | 27 de Maio de 2014 às 16h48
photo_camera The Hacker News

Se você possui um blog no Wordpress, então é melhor tomar cuidado da próxima vez em que for fazer login na sua conta em uma rede Wi-Fi pública. De acordo com o site Ars Technica, uma grave brecha de segurança foi identificada no armazenamento de cookies de autenticação do site que permite hackear a conta da vítima e assumir total controle.

Quando o usuário faz o login no Wordpress, os servidores registram no navegador um web cookie com o nome de "wordpress_logged_in". Segundo Yan Zhu, pesquisadora da Electronic Frontier Foundation (EFF) responsável pela descoberta, este cookie está sendo enviado em texto puro (HTTP), ou seja, sem nenhuma proteção criptográfica para o browser do usuário, o que poderia fazer com que os dados da autenticação fossem facilmente interceptados por um "sniffer" na rede. O cookie então poderia ser adicionado a outro navegador e assim conseguir acesso indevido à conta da vítima sem qualquer necessidade de nome de usuário ou senha.

Wordpress

A brecha não dá a possibilidade de o atacante alterar os dados cadastrais da vítima, mas mesmo assim o usuário mal intencionado teria acesso a todas as estatísticas do blog, postagens e edição de artigos.

Felizmente, blogs do WordPress hospedados em um servidor com suporte a HTTPS completo não são suscetíveis ao ataque, contanto que cada página suporte HTTPS e os cookies contenham a bandeira "seguro".

Até que uma correção esteja disponível, o ideal é que se evite acessar a conta no Wordpress em redes públicas. Mesmo em redes confiáveis, o usuário deve ter em mente que os provedores de acesso à internet são capazes de interceptar o cookie sem criptografia – portanto, certifique-se de que o servidor que hospeda a sua página tenha suporte completo ao protocolo HTTPS.

Recentemente, uma brecha de segurança semelhante expôs dados de milhões de usuários do eBay, um dos maiores sites de leilão do mundo.

Instagram do Canaltech

Acompanhe nossos bastidores e fique por dentro das novidades que estão por vir no CT.