Falha de segurança no WordPress – falhas críticas achadas em vários plugins

A Sucuri Security alertou sobre uma grave falha de segurança no WordPress. Falhas críticas em alguns plugins do WordPress foram achadas essa semana.
O problema começou com a documentação oficial do WordPress que não era clara, o que levou os desenvolvedores a usarem as funções do add_query_arg() e remove_query_arg() de uma maneira insegura. Essas funções são usadas por desenvolvedores de software para modificar e adicionar uma sequência de consultas no URLs dentro do WordPress. Esse uso inseguro deixou alguns plugins vulneráveis ao “Cross-site Scripting(XXS)”. Cross-site Scripting é uma técnica utilizada por hackers para inserir códigos maliciosos do tipo JavaScript, VBScript, ActiveX, HTML, ou Flash dentro de uma página vulnerável. Uma pessoa visitando uma página comprometida pode acabar fornecendo seus dados e suas senhas sem perceber.
Até o momento os plugins identificados como afetados são:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • Updraft Plus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

As atualizações desses plugins devem ser feitas imediatamente.
Essa vulnerabilidade foi inicialmente descoberta semana passada, o que permitiu algum tempo para que as falhas fossem reparadas. Sucuri adverte que alguns plugins adicionais, além dos que foram listados acima, talvez tenham a mesma falha na segurança, só não foram detectados ainda. Por isso, é melhor manter todos os seus plugins atualizados, só por segurança.
Aqui na Loft44 o foco dos nossos planos de hospedagem está no desempenho do seu site e na segurança dos seus dados. Oferecemos um leque de planos de hospedagem e suporte técnico para atender sites de todos os portes. Nossos servidores são monitorados constantemente para proteção contra ataques maliciosos e para garantir a segurança dos seus arquivos e dados, e temos ampla experiência em hospedar e gerenciar sites no WordPress. Oferecemos até um serviço de hospedagem e gerenciamento técnico do seu site no WordPress onde cuidamos do monitoramento do servidor, da manutenção dos seus bancos de dados, das atualizações dos arquivos ‘core’ e dos seus plugins, além de oferecer suporte personalizado para sua equipe.
Caso tenha interesse em contratar a Loft44 para cuidar do seu site no WordPress, entre em contato.

Deixe um comentário

O seu endereço de e-mail não será publicado.