Vulnerabilidade no WordPress afeta milhões de sites

Por Redação | 07 de Maio de 2015 às 14h26

Uma equipe de pesquisa da empresa de segurança online Sucuri revelou que milhões de sites do WordPress podem estar em risco graças a uma falha num dos temas mais populares e que está incluso na configuração padrão da plataforma.

O exploit em questão se alimenta de uma vulnerabilidade de Cross-Site Scripting (XSS), conhecida como "DOM-Based XSS". De acordo com as informações fornecidas pela Sucuri, DOMs são usados para ensinar um navegador como exibir cabeçalhos, imagens, textos, ou links que estão dentro de um tema carregado no Wordpress.

O tema afetado foi lançado no ano passado e se chama "Twenty Fifteen". Ele é instalado por padrão em todas as principais versões da atual distribuição do Wordpress, tornando-se um alvo especialmente grande para qualquer hacker que queira pegar o maior peixe usando a menor isca.

A falha acontece quando um administrador do site clica em um link malicioso em seu e-mail ou em um site de phishing enquanto estiver conectado ao WordPress, permitindo automaticamente uma varredura do servidor à procura de uma possível brecha para entrar no sistema.

O que torna essa vulnerabilidade especialmente preocupante é o fato de que o bug não precisa que o seu site esteja executando uma versão do tema Twenty Fifteen para se envolver nesse problema. Como o tema já está incluído no banco de dados de cada site criado na plataforma, ele é automaticamente um meio por onde você pode ser hackeado.

Se você possui um site no WordPress (independente da versão instalada), saiba que grandes hosts de domínio já fizeram uma varredura na sua base de assinantes e removeram todos os traços do erro, mas se você estiver utilizando um servidor independente ou outro host, a Sucuri recomenda a remoção dos arquivos example.html de dentro do diretório genericons.

Veja a lista de hosts que já fizeram alterações para aprimorar a segurança dos sites que hospedam:

  • GoDaddy
  • HostPapa
  • DreamHost
  • ClickHost
  • Inmotion
  • WPEngine
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

Fonte: Sucuri Blog

Instagram do Canaltech

Acompanhe nossos bastidores e fique por dentro das novidades que estão por vir no CT.