Por Felipe Demartini
Uma falha de segurança considerada crítica pode ter exposto mais de 30 mil sites que usam a plataforma WordPress a ataques de cibercriminosos. A brecha foi localizada no plugin miniOrange, usado para a criação de contas a partir de perfis em redes sociais, que poderia expor perfis a invasões por usuários não autenticados.
Descoberta em maio e já corrigida, a brecha estava relacionada a comportamentos inseguros na criptografia usada para validar os logins por meio do miniOrange. O recurso não utilizava chaves únicas para validar cada login, mas sim um segredo embutido no código-fonte e usado em todas as instalações do plugin, permitindo a invasão de contas.
As plataformas usadas para login, como Twitter, Facebook, Google, Apple, Discord e mais de 40 outras, não ficavam vulneráveis à exploração, mas o mesmo não podia ser dito das contas criadas pelos usuários dos sites em WordPress. Para um atacante, bastaria saber o e-mail do alvo para ganhar acesso a perfis que podem conter dados sigilosos e informações pessoais, entre outras explorações.
Conforme explicado pelos pesquisadores do Wordfence, especializados em segurança da plataforma WordPress, o maior risco está na manipulação de sites para exibição de conteúdo malicioso ou redirecionamento de usuários. Caso o plugin seja usado para controlar os administradores e editores de uma página, por exemplo, o acesso indevido pode possibilitar o comprometimento dos domínios, levando a ataques contra os visitantes e clientes.
Sendo assim, a recomendação é de atualização imediata do miniOrange. A versão 7.6.5 do plugin, lançada em 14 de junho, não é mais vulnerável à exploração, mas todas as anteriores são, o que faz com que se inicie uma corrida entre administradores de sites, que devem aplicar o update, e cibercriminosos que desejam explorar a abertura enquanto ela ainda está disponível.
Além disso, como outras medidas de segurança, é importante manter todas as extensões atualizadas, assim como o próprio WordPress, de forma de brechas conhecidas como essa sejam mitigadas. Além disso, para login de administradores e outras tarefas críticas, o ideal é usar sistemas seguros de autenticação e verificação em duas etapas, além de senhas complexas que não sejam repetidas entre serviços.
FONTE: CANALTECH