Vulnerabilidade encontrada no Wordpress coloca seus sites em risco
Por Jessica Pinheiro | 09 de Fevereiro de 2018 às 18h29
De acordo com uma pesquisa realizada pela W3Techs, o Wordpress é o sistema de gerenciamento de conteúdo (CMS) mais usado do mundo, tanto que a plataforma abocanhou 29,4% de todos os sites atualmente online. Por ser o mais utilizado, não é exatamente surpresa que também seja o mais visado por ataques de cibercriminosos.
Prova disto é a pesquisa divulgada no início desta semana pelo especialista israelense Barak Tawily, que descobriu haver uma falha de segurança no Wordpress do tipo Denial of Service, ou negação de serviço (DoS) – responsável por causar lentidão ou indisponibilidade em um site de internet. A vulnerabilidade permite que um cibercriminoso tire proveito de um script interno da plataforma, o load-script.php, podendo assim enviar inúmeras requisições de uma só vez e causar um ataque DDoS.
Este tipo de ataque, ainda que seja um dos mais comuns hoje em dia, causa uma negação de serviço distribuído, o que significa que o site trava quando há um número imenso de requisições, em um nível muito além do que a sua infraestrutura consegue suportar.
Além do mais, a falha encontrada mescla vários arquivos JavaScript em um só e os solicita ao servidor como se fosse uma única requisição, o que permite um ganho de desempenho, mas diminui o número de requisições. Como o script pode ser executado por qualquer pessoa, sem a necessidade de autenticação, há ainda a chance de que ele junte todos os arquivos JavaScript em uma única pasta dentro do servidor, e, uma vez processados, paralisam o site por excesso de requisições.
E a correção?
De acordo com o site de hospedagem Hostnet, a equipe de desenvolvimento do Wordpress foi notificada sobre a falha de segurança, mas não houve pronunciamento da empresa até então. Uma correção para o problema também não foi apresentada por enquanto, tampouco uma nova versão do sistema.
Atualizar o Wordpress para sua mais recente versão (4.9.4) pode ser uma solução de curto prazo, já que diminui o problema, mas não o resolve, de modo que um site com a atualização mais recente ainda pode ser vítima desse ataque: ainda que o cibercriminoso possa fazer menos requisições, ele pode executar todas as instâncias na plataforma e, assim, paralisar o servidor – e talvez até os provedores inteiros – da mesma forma.
Ainda segundo a Hostnet, o pesquisador que fez a descoberta da vulnerabilidade disponibilizou uma correção para os usuários de WordPress, que está disponível para todos. Por sinal, a plataforma de hospedagem aplicou uma espécie de antídoto em seus servidores que contêm Wordpress, imunizando seus clientes de possíveis ataques a partir desta falha de segurança.
Fonte: Computer World, Hostnet