O WordPress é de todos o mais usado CMS da Internet. Com uma utilização rápida e simples, torna muito fácil a qualquer um criar o seu site e fazer a sua manutenção, sem ter a necessidade de conhecimentos avançados.

Uma vulnerabilidade foi agora encontrada, num dos plugins mais úteis. Deixa qualquer site onde está instalado vulnerável e abre a porta a potenciais ataques, que podem ser devastadores. Depois de todos os problemas que temos assistidos, é melhor mesmo atualizar rapidamente este plugin para estar protegido.

Falha de segurança num plugin

A filosofia base do WordPress há muitos anos que está implementada e tem dado frutos. É de todos o mais usado sistema de gestão de conteúdos, permitindo criar um site em poucos minutos, com um conjunto de templates e plugins que podem ser rapidamente instalados e usados.

É precisamente um destes plugins, um elemento que eleva ainda mais as funções, que está a trazer problemas aos utilizadores do Wordrpess. Chamado PHP Everywhere, permite a colocação de código PHP em qualquer elemento. Este tem 3 vulnerabilidades de segurança graves identificadas e prontas a serem exploradas.

Basta atualizar no WordPress

A mais grave destas vulnerabilidades permite executar código PHP de forma remota em qualquer site que tenha o PHP Everywhere instalado. Não requer credenciais de acesso e o código enviado ficaria permanentemente presente no site.

As duas vulnerabilidades restantes permitiam a criação de páginas e outros elementos nos sites, que depois eram explorados. De notar que estes 2 casos era necessário alterar as configurações de segurança deste plugin do WordPress, algo que não é normal.

Deixa qualquer site vulnerável

Estas 3 falhas são classificadas como de elevada criticidade, pelo que devem ser rapidamente tratadas no WordPress. Permitem a execução de código remoto e alterar o próprio site criado. Em casos extremos, será possível assumir o controlo de qualquer instalação deste CMS.

As 3 falhas foram descobertas janeiro e estão já resolvidas pelos programadores que mantêm o PHP Everywhere. Assim, a solução para este problema é simples e passa pela atualização deste plugin, diretamente dentro da interface de administração do WordPress.