O WordPress é inquestionavelmente a plataforma de conteúdos digital gratuita mais usada em todo o mundo. Segundo dados recentes, 30% de todos os sites disponíveis na internet usam WordPress mas a plataforma tem atualmente uma falha de segurança que permite aos utilizadores apagar ficheiros fundamentais para o funcionamento dos sites que têm como base esta plataforma.
Se tem um site assente nesta plataforma, então saiba o que pode acontecer e como corrigir.
O WordPress é, sem margem de dúvida, uma das plataformas de conteúdos (tipicamente também designado de CMS – content management system) mais populares da Internet. Com esta plataforma o utilizador pode criar facilmente sites, blogs, sites de comércio eletrónico, etc. etc… de uma forma rápida, simples e muito profissional.
No entanto, segundo investigadores da RIPS Technologies GmbH, esta plataforma tem uma falha de segurança grave, identificada numa das funções do WordPress. Esta função é apenas executada (em segundo plano) quando um determinado utilizador tenta excluir, via backoffice, de forma permanente a miniatura (thumbnail) de uma imagem. Através desta função, podem ser apagados ficheiros importantes da estrutura do WordPress como o .htaccess, index.php ou wp-config.php.
Esta falha está disponível para todo o tipo de utilizadores criados no WordPress. Por exemplo, um utilizador com perfil de autor, que tem poucos privilégios, pode apagar ficheiros da estrutura sem ter níveis de privilégios mais elevados.
Veja como tudo funciona…
De referir ainda que os investigadores reportaram a falha há cerca de 7 meses e nada foi feito. Sabe-se também que esta falha afecta todas as versões desta plataforma, incluindo a versão 4.9.6. Os investigadores disponibilizam aqui uma forma de corrigir temporariamente tal vulnerabilidade.
|Via