Plugin de WordPress deixa mais de 500 mil sites vulneráveis a ataques de hacker

A falha do plugin do WordPress Easy WP SMTP ocorreu devido a um erro básico de manutenção da pasta e essa é a segunda vez que uma vulnerabilidade de dia zero foi encontrada na popular extensão, que tem mais de 500.000 instalações ativas.

Atualizado em: 12/02/2021
segurança para sites

Precisando de conteúdo para sua empresa? Encontre os melhores escritores em WriterAccess!

O plugin do WordPress Easy WP SMTP, que permite aos usuários configurar e enviar emails pelo servidor SMTP — o que impede que as correspondências sejam encaminhadas para a pasta de spam —, tem mais de 500.000 instalações ativas e precisou corrigir uma vulnerabilidade que poderia conceder acesso e controle de todo o site a cibercriminosos.

Conhecido como vulnerabilidade de dia zero, uma vez que tem potencial de se tornar um ataque sem precedentes e antes que desenvolvedores consigam encontrar uma correção, esse tipo de ameaça pode assumir várias formas, desde uma falha na criptografia a uma injeção de SQL e redirecionamentos de URL.

No caso do plugin Easy WP SMTP, permitiria acesso total ao painel de administrador, o que concederia aos cibercriminosos a capacidade de efetivar mudanças nas configurações de senha, sequestrar o site, ou efetivar várias modalidades de crime digital.

As vulnerabilidades de dia zero são difíceis de encontrar proativamente e por esse motivo também são muito disruptivas, uma vez que a falta de precedentes atrasa e limita a devida proteção e correção das falhas. No WP SMTP, ela foi adicionada em um arquivo de log de depuração que ficou exposto devido a um erro básico de manutenção da pasta.

Geralmente, essas pastas que ficam no servidor contêm um arquivo index.html em branco para que os usuários não consigam navegar pelo diretório e acessar o local. A pasta com o arquivo de log de depuração não contém esse arquivo e, portanto, o hacker poderia conseguir um nome de usuário de nível de administrador, redefinir a senha e efetivar qualquer mudança pertinente para as suas intenções maliciosas.

Esse é o segundo caso de vulnerabilidade de dia zero que afetou o plugino primeiro foi descoberto em 2019, quando os hackers usaram uma vulnerabilidade para criar contas de administrador backdoor.

Os desenvolvedores do plugin fizeram a devida correção da vulnerabilidade a partir da mudança de pasta do registro de depuração para uma pasta de registros do WordPress, onde ele está mais protegido. A versão onde esse bug foi corrigido é a Easy WP SMTP 1.4.4, de acordo com o changelog do plugin, onde são documentadas todas as mudanças em cada atualização.

O changelog informa ao usuário que há uma atualização disponível para a correção da vulnerabilidade. No plugin Easy WP SMTP, o documento notifica a inserção de um arquivo index.html em uma pasta para evitar o acesso desautorizado que poderia ser a porta de entrada para intrusões.

A partir da versão do WordPress 5.5 os usuários poderão contar com um recurso adicional que permite apenas a execução de plugins em sua versão mais recente, sem que haja necessidade do administrador efetivar atualizações.

Enquanto a versão com essa funcionalidade não chega, é recomendado que todos os usuários do plugin atualizem para a versão corrigida.

Além disso, é importante conhecer todas as medidas para reforçar a segurança de sites como você poderá conferir neste artigo.

Compartilhe
facebook
linkedin
twitter
mail

CONTEÚDO CRIADO POR HUMANOS

Encontre os melhores freelancers de conteúdo no WriterAccess.

CONTEÚDO CRIADO POR HUMANOS

Encontre os melhores freelancers de conteúdo em WriterAccess.

Inscreva-se em nosso blog

Acesse, em primeira mão, nossos principais posts diretamente em seu email

Compre conteúdo de alta qualidade com a WriterAccess.

Tenha acesso a mais de 15.000 freelancers especializados em redação, edição, tradução, design e muito mais, prontos para serem contratados.

Fale com um especialista e amplie seus resultados de marketing.

A Rock Content oferece soluções para produção de conteúdo de alta qualidade, aumento do tráfego orgânico e conversões, e construção de experiências interativas que transformarão os resultados da sua empresa ou agência. Vamos conversar.