Plugin desatualizado no WordPress coloca em risco centenas de milhares de sites - Canaltech

Caso você seja usuário do WordPress e use o plugin SEOPress, é bom se assegurar de que ele está atualizado para sua versão mais recente. Uma investigação conduzida pelos especialistas em defesa digital da Wordfence descobriu que uma falha nas versões antigas da ferramenta está comprometendo a proteção de centenas de milhares de sites.

Isso se deve ao alcance do SEOPress, cuja popularidade o levou a ser instalado em mais de 100 mil páginas que usam os sistemas de publicação do WordPress. Segundo os pesquisadores responsáveis pela descoberta, a brecha permite que um atacante injete scripts maliciosos que atuam no roubo de páginas completas.

Chloe Chamberland, analista de ameaças na Wordfence, afirma que o problema reside na capacidade do plugin de adicionar título e descrição de SEO às publicações. Isso pode ser feito enquanto o usuário também atualiza seu material com edições, o que depende de um endpoint REST-API — que, por ter sido implementado de forma insegura, torna possível a realização de ataques.

Atualização imediata é recomendada

Além de permitir que um atacante ganhe domínio completo sobre uma conta no WordPress, o problema também permite a criação de novas contas com privilégios administrativos, injeções webshell e redirecionamentos automáticos. Assim, um site conhecido pode ser manipulado para redirecionar os visitantes a uma página falsa na qual são expostos a malwares e outras ameaças, por exemplo.

Segundo Chamberland, os responsáveis pelo SEOPress foram alertados sobre o problema no dia 29 de julho e deram uma resposta sobre ele no dia seguinte. Poucos depois, no dia 4 de agosto, os desenvolvedores lançaram a versão 5.0.4 que deve ser instalada o quanto antes — no entanto, quem não fez isso não está totalmente desprotegido.

Em resposta a uma pergunta feita na sessão de comentários, Chamberland apontou que o erro detectado só acontece na versão 5.0.0 em diante do SEOPress. Quem possui versões anteriores (e decidiu adiar a atualização enquanto espera pela correção de bugs) não está sujeito à brecha, mas pode estar vulnerável a outros problemas que já foram corrigidos pelos criadores do plugin.