Tecnologia
WordPress: Falha em plugin famoso facilita ataques a 12 milhões de sites
Vulnerabilidade detectada por especialista em segurança digital possibilita controle total de invasores sobre páginas hospedadas na plataforma.
O surgimento de uma vulnerabilidade em um dos plugins mais utilizados do WordPress pode facilitar a ação de invasores e a tomada de controle de cerca de 12 milhões de sites.
O bug foi descoberto por um especialista da empresa de segurança cibernética NinTechNet, chamado Jerome Bruandet. Segundo ele, se a falha for devidamente explorada por hackers, o risco é grande.
A vulnerabilidade afeta o Elementor Pro, plugin que possibilita a criação de sites com aparência profissional mesmo sem conhecimentos em programação.
A exploração dela ocorre, basicamente, no momento em que o plugin é utilizado em conjunto com a ferramenta de construção de lojas on-line WooCommerce.
Chance de ataque
De acordo com Jerome, se essas condições forem atendidas, qualquer pessoa que tenha uma conta no site impactado conseguirá criar novos registros com acessos de administrador.
Com isso, é possível, por exemplo, assumir o total controle da página e aplicar alterações sensíveis, como redirecionar todo o tráfego dela para um site fraudulento e realizar outras ações maliciosas.
A falha já está sendo explorada por cibercriminosos. O próprio sistema de gerenciamento de conteúdos do WordPress já informou algumas ocorrências.
Os ataques foram realizados por meio dos seguintes IPs: 193.169.194.63, 193.169.195.64 e 194.135.30.6. Durante a ação, os invasores instalaram arquivos wp-resortpack.zip, wp-rate.php e lll.zip nas páginas afetadas.
Como se proteger?
A falha no Elementor Pro foi relatada ao WordPress durante o mês de março e ela teria sido corrigida, com o lançamento de um patch de segurança.
Para terem acesso a essa versão corrigida com o sistema de proteção, no entanto, os usuários e administradores de sites precisam fazer a atualização do sistema.
O bug afeta as versões 3.11.6 e anteriores do plugin Elementor Pro. A atualização já apresenta a versão seguinte (3.11.7), sem a vulnerabilidade detectada anteriormente.
A plataforma emitiu um alerta para todos os usuários da ferramenta e disse, ainda, que aqueles que utilizam o Ninja Firewall WP Edition e o Ninja Firewall WP+ Edition estão protegidos da falha.
-
Política2 dias atrásItália altera regras de cidadania por descendência e impacta brasileiros; veja detalhes
-
Mundo2 dias atrás
A curiosa razão pela qual cidades europeias estão dando galinhas a moradores
-
Tecnologia2 dias atrás
Pouca gente sabe que usar Starlink em prédios pode dar problema! Veja por quê
-
Empresas2 dias atrás
Stefanini reorganiza operação e aposta em crescimento com IA e aquisições
-
Empresas2 dias atrás
Marketplace da Petrobras lança API Store
-
Finanças2 dias atrás
Se você mora sozinho, também pode receber benefícios pelo Caixa Tem
-
Automobilística2 dias atrás
CNH vencida? Saiba os prazos de renovação e evite penalidades
-
Finanças2 dias atrás
Caixa Tem lança cartão sem anuidade e com limite inicial de R$ 800
