6 Vulnerabilidades do Plugin WordPress Violados por Hackers
Sem sistema de gerenciamento de conteúdo (CMS) mede até o WordPress em termos de popularidade. É um campeão indiscutível no seu nicho, ostentando uma impressionante quota de mercado de 63,5% do CMS. Além disso, 37% de todos os sites na Internet usam WordPress.
Com sua estrutura flexível que se encaixa em praticamente qualquer contexto online – desde pequenos blogs pessoais e sites de notícias a sites operados por grandes marcas – não é surpresa que este CMS tenha criado ondulações na área do ecossistema web por anos.
O que os cibercriminosos pensam deste trem de propaganda? Você adivinhou – eles não se importam de pular em cima dele. Ao contrário dos webmasters, porém, a motivação deles é muito menos benigna.
O lado bom é que o WordPress Core é devidamente protegido de diferentes ângulos através de correções regulares de vulnerabilidade. A equipe de segurança do WordPress colabora com pesquisadores confiáveis e empresas de hospedagem para garantir uma resposta imediata às ameaças emergentes. Para intensificar as defesas sem depender da higiene de atualização dos proprietários do site, o WordPress vem empurrando atualizações de fundo automatizadas desde a versão 3.7 lançada em 2013.
A má notícia é que plugins de terceiros podem ser presas fáceis para atores maliciosos. Sem surpresas, plugins com muitas instalações ativas são uma isca maior. Ao explorá-los, esses atores podem pegar um atalho e aumentar significativamente a superfície de ataque potencial.
As brechas encontradas recentemente nos plugins populares do WordPress executam a gama de bugs de execução remota e de escalonamento de privilégios para falsificações de pedidos e falhas de scripts de sites cruzados.
Outros de Nossos Colaboradores EspecialistasHá 5 Tipos Básicos de Empreendedores. Quais 1 São Você?
Gerenciador de Ficheiros
No início de Setembro, os investigadores do fornecedor de alojamento Web Seravo, sediado na Finlândia, depararam-se com uma falha de segurança no File Manager, um plugin WordPress instalado em pelo menos 600.000 sites. Categorizado como uma vulnerabilidade de execução de código remoto de dia zero, este bug crítico permitiu que um adversário não autenticado acessasse a área de administração, executasse código malicioso e fizesse o upload de dodgy scripts em qualquer site do WordPress executando versões do Gerenciador de Arquivos entre 6.0 e 6.8.
A crédito do plugin maker, uma versão corrigida (File Manager 6.9) foi lançada poucas horas depois que os analistas de segurança relataram esta vulnerabilidade. De acordo com as estatísticas de versões ativas do Gerenciador de Arquivos, porém, esta compilação está sendo usada atualmente em apenas 52,3% dos sites WordPress que rodam o plugin. Isso significa que mais de 300.000 sites continuam suscetíveis a comprometimento porque seus proprietários são lentos em atualizar o plugin para a última versão corrigida.
Quando os white hats descobriram essa falha, ela já estava sendo explorada em ataques do mundo real tentando fazer upload de arquivos PHP prejudiciais para o diretório “wp-content/plugins/wp-file-manager/lib/files/” em sites não seguros. No momento desta escrita, mais de 2,6 milhões de instâncias do WordPress foram sondadas para versões desatualizadas do File Manager.
Além disso, diferentes gangues de criminosos cibernéticos parecem estar travando uma guerra por websites que continuam a ser de baixa renda. Um dos elementos desta rivalidade se resume a especificar uma senha para acessar o arquivo do plugin chamado “conector.minimal.php”, que é um launchpad primário para execução remota de código em iterações não corrigidas do Gerenciador de Arquivos.
Em outras palavras, uma vez que os atores da ameaça ganham uma base inicial em uma instalação vulnerável do WordPress, eles bloqueiam o componente explorável de ser usado por outros criminosos que também podem ter acesso de backdoor ao mesmo site. Por falar nisso, os analistas observaram tentativas de hackear websites através de um bug no plugin File Manager vindo de 370.000 endereços IP diferentes.
Page Builder
O plugin Page Builder WordPress por SiteOrigin tem mais de um milhão de instalações. No início de maio, o provedor de serviços de segurança Wordfence fez uma descoberta desconcertante: Este componente extremamente popular do WordPress é suscetível a uma série de vulnerabilidades de solicitação de falsificação cruzada de site (CSRF) que podem ser armadas para ganhar privilégios elevados em um site.
Os recursos de buggy do plugin, “Live Editor” e “builder_content”, permitem que um malfeitor registre uma nova conta de administrador ou abra um backdoor para acessar um site vulnerável à vontade. Se um hacker é suficientemente competente, eles podem tirar vantagem desta vulnerabilidade para executar uma aquisição de site.
SiteOrigin lançou uma correção dentro de um dia após ter sido alertado para estas falhas. No entanto, o problema continuará a fazer-se sentir de forma generalizada até que os webmasters apliquem o patch – infelizmente, isto normalmente leva bastante tempo.
GDPR Cookie Consent
Este plugin é um dos pesos pesados no ecossistema WordPress, sendo instalado e utilizado activamente em mais de 800.000 sites. Ele permite que webmasters cumpram com o Regulamento Geral de Proteção de Dados da União Européia (GDPR) através de notificações de política de cookies personalizáveis.
Janeiro passado, especialistas em segurança descobriram que o GDPR Cookie Consent versão 1.8.2 e anteriores foram expostos a uma grave vulnerabilidade que permitia aos maus actores arrancar com o cross-site scripting (XSS) e ataques de escalada de privilégios.
O bug prepara o caminho de um hacker para alterar, publicar ou apagar qualquer conteúdo num site WordPress explorável, mesmo com permissões de subscritores. Outro cenário adverso se resume a injetar código JavaScript prejudicial que pode causar redirecionamentos ou exibir anúncios indesejados para os visitantes. A boa notícia é que o desenvolvedor, WebToffee, lançou uma versão corrigida em 10.
Duplicator
Com mais de um milhão de instalações ativas e um total de 20 milhões de downloads, o Duplicator está na lista dos 100 principais plugins do WordPress. Sua principal característica é a migração ou clonagem de um site WordPress de um local para outro. Além disso, ele permite que proprietários de sites façam backup de seu conteúdo de forma fácil e segura.
Em fevereiro, os analistas de segurança Wordfence identificaram uma falha que permitiu que um perpetrador baixasse arquivos arbitrários de sites rodando Duplicator versão 1.3.26 e anteriores. Por exemplo, um atacante poderia piggyback neste bug para baixar o conteúdo do arquivo “wp-config.php” que contém, entre outras coisas, as credenciais do administrador do site. Felizmente, a falha foi corrigida dois dias após a vulnerabilidade ter sido relatada ao fornecedor.
Site Kit pelo Google
Uma falha severa no Site Kit pelo Google, um plugin usado ativamente em mais de 700.000 sites, permite que um atacante assuma o Console de Busca do Google associado e interrompa a presença online do site. Ao obter acesso não autorizado do proprietário através desta fraqueza, um ator malicioso pode alterar os mapas do site, retirar páginas da lista dos resultados da Pesquisa do Google, injetar código prejudicial e orquestrar fraudes SEO de chapéu preto.
Uma das facetas desta falha é que o plugin tem uma implantação grosseira das verificações de papel do usuário. Para completar, ele expõe a URL alavancada pelo Site Kit para se comunicar com o Console de Busca do Google. Quando combinadas, essas imperfeições podem alimentar ataques que levam ao aumento de privilégios e aos cenários pós-exploração mencionados acima.
A vulnerabilidade foi descoberta pelo Wordfence no dia 21 de abril. Embora o autor do plugin tenha lançado uma versão atualizada (Site Kit 1.8.0) em 7 de maio, ele está atualmente instalado em apenas 12,9% (cerca de 90.000) dos sites WordPress rodando Site Kit. Portanto, centenas de milhares de proprietários de sites ainda não o aplicaram para se manterem seguros.
IniteWP Client
Este plugin tem mais de 300.000 instalações activas por uma razão: permite aos proprietários de sites gerirem vários sites a partir do seu próprio servidor. Um lado negativo de aproveitar essas vantagens é que um adversário pode ser capaz de contornar a autenticação através de uma falha crítica descoberta pela WebARX em janeiro.
Para colocar tal ataque em movimento, um hacker pode explorar as funções do cliente InfiniteWP chamado “add_site” e “readd_site”. Como essas entidades não tinham controles de autenticação apropriados, um atacante poderia aproveitar uma carga útil codificada Base64 especialmente criada para entrar em um painel de administração do WordPress sem ter que digitar uma senha válida. O nome de usuário do administrador seria suficiente para obter acesso. Uma atualização cuidando desta vulnerabilidade chegou no dia seguinte após a descoberta.
O que fazer sobre isso
Plugins estendem a funcionalidade de um site WordPress, mas eles podem ser uma bênção mista. Mesmo os plugins WordPress mais populares podem ter imperfeições que permitem vários tipos de jogo sujo levando à aquisição de sites e roubo de dados.
A boa notícia é que os autores de plugins respondem rapidamente a esses pontos fracos e implementam correções. No entanto, essas atualizações são inúteis, a menos que os proprietários do site façam seus deveres e sigam práticas seguras.
As seguintes dicas irão ajudá-lo a evitar que o seu site WordPress se torne um site com pouca fruta pendente:
- Aplicar atualizações. Esta é a contra-medida fundamental para os hacks do WordPress. Certifique-se de que seu site está rodando a última versão do WordPress Core. Igualmente importante, instale atualizações para seus plugins e temas assim que eles forem lançados.
- Use senhas fortes. Especifique uma senha que pareça o mais aleatória possível e que consista de pelo menos 10 caracteres. Inclua caracteres especiais para elevar a fasquia para atacantes que podem tentar forçar os seus detalhes de autenticação.
- Siga o princípio do privilégio mínimo. Não dê mais permissões aos usuários autorizados do que eles precisam. As funções de administrador ou editor podem ser redundantes para alguns usuários. Se os privilégios do assinante ou contribuidor forem suficientes, fique com eles em vez disso.
- Limite o acesso direto a arquivos PHP. Hackers podem enviar requisições HTTP ou GET/POST especialmente criadas para componentes PHP dos seus plugins e temas para contornar mecanismos de autenticação e validação de entrada. Para evitar estes ataques, especifique regras que acionam uma página de erro quando tais tentativas são feitas.
- Remover usuários inativos. Revise a lista de usuários inscritos em seu site e remova contas inativas.
- Desabilite a enumeração de usuários. Para evitar que os atacantes visualizem a lista de usuários do seu site e tentem explorar seus erros de configuração, vá para o arquivo .htaccess, e desligue o recurso de enumeração de usuários lá.
- Adicionar um plugin de segurança. Certifique-se de que o plugin vem com um firewall de aplicação web (WAF) que monitora tráfego suspeito e bloqueia ataques de piggybacking em vulnerabilidades conhecidas e de dia zero.