Falhas permitem executar códigos maliciosos em 30 mil sites com Wordpress

Uma série de três falhas de segurança no plugin PHP Everywhere poderia permitir que atacantes executassem códigos maliciosos em mais de 30 mil sites que usam o sistema Wordpress de gerenciamento de conteúdo. As vulnerabilidades foram localizadas em janeiro e já estão corrigidas, com a indicação aos administradores sendo da atualização da extensão o mais rapidamente possível.

• Como identificar se um site é uma tentativa de phishing?
• Chefe de segurança do Github discute open source para evitar nova falha Log4j

O plugin é usado para inserir elementos PHP em páginas, postagens, menus e qualquer outro bloco editável utilizado pelo Wordpress para a exibição de conteúdo dinâmico. A mais grave das brechas, entretanto, permitia que usuários sem credenciais de administração também enviassem solicitações com códigos que poderiam ser usados para fins maliciosos.

Outras duas brechas também eram consideradas severas, ainda que sua utilização fosse mais complexa. Na primeira, por meio de alterações de metadados do plugin, seria possível criar posts e os visualizar em modo de prévia, abrindo as portas para uso malicioso de domínios legítimos, enquanto uma terceira possibilitava a alteração direta de blocos. Aqui, entretanto, eram preciso alterações nas configurações padrão de segurança do plugin, o que reduzia o alcance das explorações.

Em todos os casos, a execução de códigos maliciosos remotamente poderia levar a diferentes fins, desde a publicação de páginas falsas para uso em ataques de phishing até uma tomada completa da administração dos sites. Nos dois primeiros casos, ainda, bastava um registro simples, como leitor, para que as capacidades de uso malicioso do PHP fossem possíveis.

As vulnerabilidades foram descobertas no início de janeiro pela Wordfence, especializada em segurança de sites com Wordpress, e exigiu um trabalho de reprogramação do plugin. Prova disso é que o software passou da versão 2.0.3 diretamente para a 3.00, que já está disponível e deve ser instalada o mais rapidamente possível pelos administradores de páginas.

Atualizar plugins do Wordpress é indicação de segurança

De acordo com dados oficiais do sistema de gerenciamento de conteúdo, pelo menos metade dos mais de 30 mil usuários do PHP Everywhere ainda não atualizaram o plugin para sua versão mais recente. Eles permanecem suscetíveis às explorações que, agora, são conhecidas do público e, como tal, podem ser utilizadas por criminosos de olho, justamente, nas páginas sem manutenção ou cuidados necessários.

Essa recomendação, aliás, vale para todos os plugins, bem como o próprio Wordpress, que devem estar sempre rodando suas últimas versões. Manter um monitoramento de usuários cadastrados e alterações indevidas também ajuda a indicar possíveis comprometimentos, comuns principalmente nas extensões do gerenciador de sites.

Fonte: Wordfence, Bleeping Computer