Milhões de sites WordPress atualizados remotamente por falha grave num plugin

22 Fev 2022 · Internet Comentar

Sendo um dos principais gestores de conteúdos, o WordPress está constantemente a ser avaliado e a serem procuradas vulnerabilidades. Este processo tem revelado falhas importantes e que são rapidamente resolvidas.

Uma das mais recentes chegou agora, associado a um dos plugins mais usados e obrigou a medidas extremas. Milhões de sites WordPress foram atualizados remotamente para resolver este problema grave que afetava o plugin UpdraftPlus.

Uma parte importante do WordPress reside nos seus plugins e no que estes podem oferecer aos gestores dos seus sites. Estes complementam o que este CMS oferece de base, alargando as suas funcionalidades para um nível, sempre ajustado e adaptado ao pretendido.

Como resultado de uma normal audição de segurança realizada pela Jetpack, um dos seus investigadores descobriu um problema muito grave de segurança. Este está no plugin UpdraftPlus, usado para fazer a gestão de cópias de segurança da base de dados do WordPress.

O que o investigador Marc Montpas descobriu coloca em causa todos os sites onde este plugin está instalado. Sem grande esforço ou complicação, qualquer utilizador registado no site poderá ter acesso a qualquer cópia de segurança e até exportá-la para si.

Esta falha resultou de 2 problemas aparentemente simples de resolver e que expunham as cópias de segurança. A primeira resultou de uma incorreta implementação da validação das permissões de admin do WordPress. A segunda estava numa variável usada para validar essas mesmas permissões, que era facilmente alterada.

A solução encontrada para resolver este problema foi simples e até muito rápida, dada a sua importância. Após ser mitigada a falha e tratado o problema no UpdraftPlus, a equipa do WordPress forçou uma atualização para os sites onde este plugin está instalado.

Foi com esta medida rápida e muito certeira que milh~es de sites assentes no WordPress ficaram imunes a um problema grave e que levava ao roubo de informação, alguma sensível. Mais uma vez fica patente a necessidade de controlar os plugins usados e a sua abrangência neste CMS.

Usa o WordPress no seu site? É melhor atualizar rapidamente este plugin para estar protegido

Este artigo tem mais de um ano

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.