O Loginizer é um plugin do WordPress muito popular entre os usuários do CMS — tem mais de 1 milhão de instalações ativas. A ferramenta de segurança contra ataques de força brutaopera por meio do bloqueio de tentativas de login quando o número máximo permitido e pré-configurado é atingido.
Além disso, o plugin incorpora autenticação de dois fatores, reCAPTCHA e outras modalidades de login para aumentar a segurança de sites em WordPress. Mas a funcionalidade mais efetiva — e a que gerou essa vulnerabilidade no plugin — consiste em adicionar os IPs dos equipamentos de onde se originaram essas tentativas em listas brancas ou negras, conforme predeterminado pelo usuário.
Você pode pensar: “isso é o suficiente para inibir novas tentativas” — mas não é o que comumente ocorre no mundo digital. Da mesma forma que a tecnologia evolui e as ferramentas se tornam menos vulneráveis, com recursos de segurança disruptivos e inovadores, os hackers avançam em novas formas de operacionalizar as invasões.
Esta semana o WordPress iniciou uma atualização forçada para o plugin em sites de terceiros que executam versões vulneráveis da ferramenta — que não validavam e higienizavam adequadamente o nome de usuário para evitar injeções de SQL e ataques de Cross-Site Scripting (XSS) — mesmo com a pré-configuração de atualização automática.
Isso aconteceu porque o pesquisador de vulnerabilidades Slavco Mihajloski, descobriu uma falha crítica no plugin, que poderia comprometer a segurança em todos os sites com instalações ativas desatualizadas da ferramenta.
A injeção de SQL, descoberta por ele no plugin Loginizer consiste em fazer uma tentativa frustrada de login proposital, justamente para injetar um código SQL no login que eventualmente seria armazenado na lista negra, entretanto, ainda estaria no banco de dados do WordPress e, por isso, configuraria uma porta de entrada para os invasores.
Como o plugin desatualizado não “higieniza” esse login, as instruções SQL ficam intactas no sistema onde a tentativa foi realizada, o que permite aos hackers a execução de códigos maliciosos.
Apesar da intenção de proteger os sites dessa ameaça iminente, vários usuários questionaram a postura da equipe do WordPress pela atualização forçada, sem o consentimento do administrador do site. Se alguém tinha dúvida sobre a capacidade dos desenvolvedores de forçar uma instalação de código em sites de terceiros, isso foi demonstrado na prática.
Mas e se esse tipo de atualização forçada inesperadamente introduzisse um bug crítico ou uma incompatibilidade no site?
O administrador do WordPress.org, Samuel Wood, respondeu a um tópico de suporte do plugin Loginizer em que os usuários realizaram esse questionamento de atualização sem a devida permissão do usuário:
“desde a versão 3.7, o WordPress.org tem a capacidade de ativar as atualizações automáticas para problemas de segurança em plugins e nós a usamos para lançamentos de segurança para plugins muitas vezes.”
O fato é que vulnerabilidades são uma realidade do mundo digitalizado e a melhor forma de inibir ameaças e combater possíveis intrusões em conhecer efetivamente o inimigo.
Então, que tal descobrir como o hackers operam na web? Veja o artigo que selecionamos para você!
CONTEÚDO CRIADO POR HUMANOS
Encontre os melhores freelancers de conteúdo no WriterAccess.
CONTEÚDO CRIADO POR HUMANOS
Encontre os melhores freelancers de conteúdo em WriterAccess.
