Tecnologia
WordPress: Falha em plugin famoso facilita ataques a 12 milhões de sites
Vulnerabilidade detectada por especialista em segurança digital possibilita controle total de invasores sobre páginas hospedadas na plataforma.
O surgimento de uma vulnerabilidade em um dos plugins mais utilizados do WordPress pode facilitar a ação de invasores e a tomada de controle de cerca de 12 milhões de sites.
O bug foi descoberto por um especialista da empresa de segurança cibernética NinTechNet, chamado Jerome Bruandet. Segundo ele, se a falha for devidamente explorada por hackers, o risco é grande.
A vulnerabilidade afeta o Elementor Pro, plugin que possibilita a criação de sites com aparência profissional mesmo sem conhecimentos em programação.
A exploração dela ocorre, basicamente, no momento em que o plugin é utilizado em conjunto com a ferramenta de construção de lojas on-line WooCommerce.
Chance de ataque
De acordo com Jerome, se essas condições forem atendidas, qualquer pessoa que tenha uma conta no site impactado conseguirá criar novos registros com acessos de administrador.
Com isso, é possível, por exemplo, assumir o total controle da página e aplicar alterações sensíveis, como redirecionar todo o tráfego dela para um site fraudulento e realizar outras ações maliciosas.
A falha já está sendo explorada por cibercriminosos. O próprio sistema de gerenciamento de conteúdos do WordPress já informou algumas ocorrências.
Os ataques foram realizados por meio dos seguintes IPs: 193.169.194.63, 193.169.195.64 e 194.135.30.6. Durante a ação, os invasores instalaram arquivos wp-resortpack.zip, wp-rate.php e lll.zip nas páginas afetadas.
Como se proteger?
A falha no Elementor Pro foi relatada ao WordPress durante o mês de março e ela teria sido corrigida, com o lançamento de um patch de segurança.
Para terem acesso a essa versão corrigida com o sistema de proteção, no entanto, os usuários e administradores de sites precisam fazer a atualização do sistema.
O bug afeta as versões 3.11.6 e anteriores do plugin Elementor Pro. A atualização já apresenta a versão seguinte (3.11.7), sem a vulnerabilidade detectada anteriormente.
A plataforma emitiu um alerta para todos os usuários da ferramenta e disse, ainda, que aqueles que utilizam o Ninja Firewall WP Edition e o Ninja Firewall WP+ Edition estão protegidos da falha.
-
Bancos2 dias atrásProcesso de devolução de Pix errado deve ficar mais simples no Brasil
-
Bancos12 horas atrás
Crise à vista? Santander fecha agências e demite centenas de funcionários
-
Tecnologia1 dia atrás
Aviação de luxo: confira os 5 jatos mais caros do mundo
-
Economia1 dia atrás
Seu banco não quer que você veja este ranking de cartões para usar fora do Brasil
-
Imposto de Renda - IRPF9 horas atrás
Nova tabela do Imposto de Renda é aprovada na Câmara e teto para isenção sobe
-
Bancos21 horas atrás
Fim do papel? Banco do Brasil inova com comprovantes digitais via WhatsApp
-
Finanças1 dia atrás
Nome continua negativado mesmo após pagar a dívida? Veja como resolver
-
Economia1 dia atrás
Quais empresas da Bolsa ganham mais com a mistura de combustíveis?
