200 mil sites hackeados!
É de extrema importância que se tenha cautela ao navegar online no momento, pois uma vulnerabilidade crítica veio à tona em certos sites baseados em WordPress, o que representa uma ameaça significativa à sua segurança. Estima-se que aproximadamente 200.000 desses sites tenham sido vítimas de software malicioso como resultado deste problema.
A utilização predominante de plataformas CMS, como o WordPress, levou a um maior escrutínio sobre os plug-ins e extensões associados, revelando vulnerabilidades potenciais que podem ser exploradas por agentes mal-intencionados. Um exemplo recente envolve a descoberta de uma falha significativa no plugin MW WP Form, uma ferramenta amplamente adotada empregada para gerar campos de formulário personalizáveis e integrá-los perfeitamente a vários sites. Apesar da sua utilidade, a implementação generalizada deste plugin representa um risco considerável, dada a sua capacidade de recolher informações confidenciais do utilizador, incluindo endereços de e-mail e dados pessoais. Estas conclusões sublinham a importância da implementação de medidas robustas de segurança cibernética em todos os níveis de desenvolvimento e manutenção de websites.
Vulnerabilidade do WordPress: quase 200.000 sites infectados com malware
O plugin MW WP Form não coleta apenas entradas textuais de formulários; também tem a capacidade de armazenar e recuperar arquivos em um servidor associado ao site. Para garantir a segurança, o plugin conta com um mecanismo para analisar os arquivos carregados e excluir aqueles considerados não autorizados. No entanto, após uma inspeção mais detalhada do código-fonte pelos pesquisadores do Wordfence, eles descobriram que mesmo que o plug-in detectasse um arquivo não autorizado, ele ainda salvaria o arquivo quando a opção “Salvar dados da solicitação no banco de dados” estivesse habilitada nas configurações do formulário. Infelizmente, esta vulnerabilidade foi explorada por agentes maliciosos que a usaram para comprometer websites e servidores remotos através do upload de dados corrompidos, incluindo scripts PHP maliciosos capazes de executar código arbitrário.
© Wordfence
Na verdade, de acordo com as conclusões da equipa de segurança do Wordfence, que atribuiu uma pontuação excepcionalmente elevada de 9,8 em 10 a esta vulnerabilidade, estima-se que aproximadamente 200.000 websites podem ter sido vítimas de código malicioso. Esta situação alarmante representa riscos significativos para os utilizadores da Internet que visitam frequentemente estes sites comprometidos. Felizmente, o desenvolvedor por trás do MW WP Form foi prontamente alertado pelo Wordfence, levando ao lançamento imediato de uma versão atualizada (5.0.2) para solucionar o problema. No entanto, pode levar algum tempo para que todos os administradores de sites WordPress implementem as atualizações necessárias. Como tal, os usuários são aconselhados a ter cuidado ao acessar qualquer site baseado em WordPress até que o patch seja aprovado.
*️⃣ Link da fonte: