Ir para o conteúdo
ou

Software livre Brasil

 Voltar a Comunidade d...
Tela cheia Sugerir um artigo

Vulnerabilidade no WordPress afeta milhões de sites

11 de Maio de 2015, 0:31 , por Revista Espírito Livre - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado uma vez

22870.37203-WordPress

Uma equipe de pesquisa da empresa de segurança online Sucuri revelou que milhões de sites do WordPress podem estar em risco graças a uma falha num dos temas mais populares e que está incluso na configuração padrão da plataforma.

O exploit em questão se alimenta de uma vulnerabilidade de Cross-Site Scripting (XSS), conhecida como “DOM-Based XSS”. De acordo com as informações fornecidas pela Sucuri, DOMs são usados para ensinar um navegador como exibir cabeçalhos, imagens, textos, ou links que estão dentro de um tema carregado no WordPress.

O tema afetado foi lançado no ano passado e se chama “Twenty Fifteen”. Ele é instalado por padrão em todas as principais versões da atual distribuição do WordPress, tornando-se um alvo especialmente grande para qualquer invasor que queira pegar o maior peixe usando a menor isca.

A falha acontece quando um administrador do site clica em um link malicioso em seu e-mail ou em um site de phishing enquanto estiver conectado ao WordPress, permitindo automaticamente uma varredura do servidor à procura de uma possível brecha para entrar no sistema.

O que torna essa vulnerabilidade especialmente preocupante é o fato de que o bug não precisa que o seu site esteja executando uma versão do tema Twenty Fifteen para se envolver nesse problema. Como o tema já está incluído no banco de dados de cada site criado na plataforma, ele é automaticamente um meio por onde você pode ser invadido.

Se você possui um site no WordPress (independente da versão instalada), saiba que grandes hosts de domínio já fizeram uma varredura na sua base de assinantes e removeram todos os traços do erro, mas se você estiver utilizando um servidor independente ou outro host, a Sucuri recomenda a remoção dos arquivos example.html de dentro do diretório genericons.

Veja a lista de hosts que já fizeram alterações para aprimorar a segurança dos sites que hospedam:

  • GoDaddy
  • HostPapa
  • DreamHost
  • ClickHost
  • Inmotion
  • WPEngine
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

Com informações de Sucuri Blog e Canaltech.


Fonte: http://www.revista.espiritolivre.org/vulnerabilidade-no-wordpress-afeta-milhoes-de-sites/

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.

 Cancelar