WordPress atualiza plugin Loginizer para proteger sites e blogs

Os ataques de força bruta seriam, teoricamente, a modalidade de mitigação mais fácil dentre as ameaças de site potenciais. Mas não é o que acontece no contexto digital, já que os hackers operam de forma cada vez mais inovadora.

Atualizado em: 12/02/2021
segurança wordpress

Precisando de conteúdo para sua empresa? Encontre os melhores escritores em WriterAccess!

O Loginizer é um plugin do WordPress muito popular entre os usuários do CMS — tem mais de 1 milhão de instalações ativas. A ferramenta de segurança contra ataques de força brutaopera por meio do bloqueio de tentativas de login quando o número máximo permitido e pré-configurado é atingido.

Além disso, o plugin incorpora autenticação de dois fatores, reCAPTCHA e outras modalidades de login para aumentar a segurança de sites em WordPress. Mas a funcionalidade mais efetiva — e a que gerou essa vulnerabilidade no plugin — consiste em adicionar os IPs dos equipamentos de onde se originaram essas tentativas em listas brancas ou negras, conforme predeterminado pelo usuário.

Você pode pensar: “isso é o suficiente para inibir novas tentativas” — mas não é o que comumente ocorre no mundo digital. Da mesma forma que a tecnologia evolui e as ferramentas se tornam menos vulneráveis, com recursos de segurança disruptivos e inovadores, os hackers avançam em novas formas de operacionalizar as invasões.

Esta semana o WordPress iniciou uma atualização forçada para o plugin em sites de terceiros que executam versões vulneráveis ​​da ferramenta — que não validavam e higienizavam adequadamente o nome de usuário para evitar injeções de SQL e ataques de Cross-Site Scripting (XSS) — mesmo com a pré-configuração de atualização automática.

Isso aconteceu porque o pesquisador de vulnerabilidades Slavco Mihajloski, descobriu uma falha crítica no plugin, que poderia comprometer a segurança em todos os sites com instalações ativas desatualizadas da ferramenta.

A injeção de SQL, descoberta por ele no plugin Loginizer consiste em fazer uma tentativa frustrada de login proposital, justamente para injetar um código SQL no login que eventualmente seria armazenado na lista negra, entretanto, ainda estaria no banco de dados do WordPress e, por isso, configuraria uma porta de entrada para os invasores.

Como o plugin desatualizado não “higieniza” esse login, as instruções SQL ficam intactas no sistema onde a tentativa foi realizada, o que permite aos hackers a execução de códigos maliciosos.

Apesar da intenção de proteger os sites dessa ameaça iminente, vários usuários questionaram a postura da equipe do WordPress pela atualização forçada, sem o consentimento do administrador do site. Se alguém tinha dúvida sobre a capacidade dos desenvolvedores de forçar uma instalação de código em sites de terceiros, isso foi demonstrado na prática.

Mas e se esse tipo de atualização forçada inesperadamente introduzisse um bug crítico ou uma incompatibilidade no site?

O administrador do WordPress.org, Samuel Wood, respondeu a um tópico de suporte do plugin Loginizer em que os usuários realizaram esse questionamento de atualização sem a devida permissão do usuário:

“desde a versão 3.7, o WordPress.org tem a capacidade de ativar as atualizações automáticas para problemas de segurança em plugins e nós a usamos para lançamentos de segurança para plugins muitas vezes.”

O fato é que vulnerabilidades são uma realidade do mundo digitalizado e a melhor forma de inibir ameaças e combater possíveis intrusões em conhecer efetivamente o inimigo.

Então, que tal descobrir como o hackers operam na web? Veja o artigo que selecionamos para você!

Compartilhe
facebook
linkedin
twitter
mail

CONTEÚDO CRIADO POR HUMANOS

Encontre os melhores freelancers de conteúdo no WriterAccess.

CONTEÚDO CRIADO POR HUMANOS

Encontre os melhores freelancers de conteúdo em WriterAccess.

Inscreva-se em nosso blog

Acesse, em primeira mão, nossos principais posts diretamente em seu email

Posts Relacionados

Compre conteúdo de alta qualidade com a WriterAccess.

Tenha acesso a mais de 15.000 freelancers especializados em redação, edição, tradução, design e muito mais, prontos para serem contratados.

Fale com um especialista e amplie seus resultados de marketing.

A Rock Content oferece soluções para produção de conteúdo de alta qualidade, aumento do tráfego orgânico e conversões, e construção de experiências interativas que transformarão os resultados da sua empresa ou agência. Vamos conversar.