Uma nova investigação realizada pela equipa da Patchstack descobriu vulnerabilidades alarmantes em dois componentes utilizados por milhares de websites WordPress com foco no setor imobiliário.
Tal como aconteceu tantas outras vezes no passado, já sabemos que este tipo de vulnerabilidades em plugins e temas do WordPress coloca em risco milhares de websites em todo o mundo.
Vulnerabilidades que exigem uma ação imediata
As vulnerabilidades foram descobertas num tema e num plugin desenvolvido pela InspiryThemes — RealHomes e Easy Real Estate, respetivamente. A equipa da Patchstack classificou estas vulnerabilidades com uma pontuação de gravidade de 9,8 em 10.
Os problemas encontradas permitem que possíveis ataques obtenham privilégios de administrador, concedendo controlo total sobre o site. Não é muito difícil perceber que as consequências podem ser devastadoras para os proprietários dos sites, pois os hackers vão conseguir fazer basicamente tudo o que quiserem no site:
- Instalar, eliminar, ou modificar plugins
- Manipular conteúdos
- Aceder a dados sensíveis
- Modificar a lista de utilizadores, e as suas permissões
Segundo a listagem do tema por parte da InspiryThemes na plataforma da Envato (ThemeForest), vemos que o tema foi comprado por mais de 32 mil utilizadores, dando-nos uma melhor perspectiva do potencial impacto.
Para aumentar o nível de alerta, é importante realçar que até agora a InspiryThemes não respondeu aos vários alertas publicados pela Patchstack, deixando assim os seus milhares de clientes em risco de terem os seus sites basicamente arruinados.
O que deves fazer se tiveres um destes elementos no teu site WordPress?
Tendo em conta que a desenvolvedora do tema e do plugin não se fez ouvir quanto a estas descobertas, podemos apenas assumir que também não foram implementadas quaisquer correções. A forma mais rápida e prática de conseguires garantir a segurança do teu site é através da desativação, tanto do plugin como do tema. Como medida adicional de segurança, também aconselhamos a avançar de imediato com a eliminação definitiva dos mesmos.
Outra forma de mitigar possíveis ataques, é através da restrição do registo de novos utilizadores, visto que as vulnerabilidades não podem ser exploradas em ambientes onde não é possível criar novas contas. Obviamente, esta medida poderá limitar o desempenho do site, especialmente se um dos pontos principais for permitir o registo de novos utilizadores.
Estas descobertas acabam por reforçar uma tendência já preocupante, onde os plugins e temas de terceiros continuam a ser alvos preferenciais para cibercriminosos. Sendo o WordPress uma plataforma utilizada por largos milhões de websites em todo o mundo, torna-se muito atrativo para campanhas lançadas por grupos de hackers.
Outros artigos interessantes:
