Falhas em dois plugins famosos do WordPress colocam milhões de sites em risco

Temas e plug-ins pirateados são a ameaça mais difundida para sites WordPress
wordpress

O WordPress (WP) é um dos sistemas de gerenciamento de conteúdo (CMS) mais populares do planeta devido à sua facilidade de uso. No mundo do WP, temos uma variedade de temas e plugins que facilitam a criação de sites pelos desenvolvedores. Um desses plugins do WordPress é o Elementor Pro, um construtor de sites que permite aos usuários adicionar módulos e personalizar seu site usando um construtor de arrastar e soltar. Servindo como evidência de sua popularidade, atualmente possui mais de 1 milhão de instalações ativas. Neste artigo, conheça falhas em dois plugins famosos do WordPress.

Falhas em dois plugins famosos do WordPress colocam milhões de sites em risco

No entanto, foi descoberto que ele é vulnerável a um bug que pode ser explorado remotamente pelos invasores para fazer upload de arquivos arbitrários, resultando na execução de código não autorizado, o que pode ser muito prejudicial.

Como exemplo, podem permitir que um invasor acesse partes críticas do site, como o sistema de arquivos. Isso, portanto, permitiria que eles excluíssem os dados do site.

A única ressalva é que o invasor precisa ser um usuário registrado do site WordPress em questão para que essa exploração funcione.

No entanto, se esse pré-requisito não puder ser cumprido por algum motivo, há outro plug-in chamado Ultimate Addons for Elementor que, com uma vulnerabilidade em suas versões 1.24.1 e abaixo, permite que alguém ataque o plugin principal do Elementor Pro sem nenhum registro de usuário sancionado pelo administrador.

Como exemplo, podem permitir que um invasor acesse partes críticas do site, como o sistema de arquivos. Isso, portanto, permitiria que eles excluíssem os dados do site.

O WordPress tem diferentes funções de usuário, uma das quais inclui um Assinante. Para se registrar como assinante, nesse caso, não é necessária a aprovação do administrador do site. O invasor pode fazer isso sozinho e, portanto, explorar as vulnerabilidades presentes.

Medidas de precaução recomendadas

Como em tudo, tenha certeza de que eles também vêm com uma correção. De acordo com uma das principais empresas de plugins de segurança do setor WP, a WordFence, eles lançaram diretrizes informando que uma atualização para a versão mais recente do Elementor Pro ajudará a proteger seu site.

Outras medidas de precaução recomendadas pela empresa incluem o seguinte:

  • Remover ativamente quaisquer usuários no nível do assinante que possam ter se registrado no seu site sem a sua permissão, pois isso pode ser um indicador de comprometimento.
  • Procure um arquivo chamado “wp-xmlrpc.php”, pois ele deve ser excluído.
  • Verifique a pasta do diretório /wp-content/uploads/elementor/custom-icons/ no seu gerenciador de arquivos para garantir que não sejam encontrados aqui arquivos não autorizados ou desconhecidos, que o invasor pode ter carregado para conduzir seu ataque.

Por fim, também é importante que você instale um plugin de segurança em seu site, que funcione para verificar ativamente seu site em busca de qualquer ameaça de malware.

Além disso, você também deve fazer backups regulares do seu site, manualmente ou por meio de um plug-in. Isso vai garantir que a restauração do site seja sempre possível, caso os dados sejam excluídos.

Fonte: HackRead

Acesse a versão completa
Sair da versão mobile