Falhas em plugins e temas piratas deixam mais de 1 milhão de sites WordPress vulneráveis a hackers
As empresas de segurança Prevailion, WebARX e WordFence estão alertando para diferentes ataques contra donos de sites que utilizam o sistema de gerenciamento de conteúdo WordPress.
Os ataques podem prejudicar os sites ou até os visitantes das páginas, que podem ser modificadas para enviar códigos maliciosos, anúncios falsos ou redirecionamentos.
O WordPress é um programa usado para criar todo tipo de site. Embora tenha sido idealizado para a publicação de blogs, a plataforma conta com uma grande variedade de temas (personalizações visuais) e complementos que ampliam suas funcionalidades, facilitando a criação de páginas comerciais, fóruns e até lojas de e-commerce.
A fraude detalhada pela Prevailion, batizada de "PHP's Labyrinth", teria atingido pelo menos 20 mil websites construídos com WordPress. Os golpistas criaram 30 sites para oferecer temas e complementos piratas, copiados de outros desenvolvedores. Os mais populares foram o "Ultimate Support Chat", o "Woocomerence Product filter" e "Slider Revolution".
Os temas e complementos são distribuídos com uma modificação que insere peças publicitárias quando ativados no site. A maioria dos anúncios é benigna, mas algumas das peças oferecem programas indesejados que podem baixar outros softwares maliciosos no computador, caso o visitante concorde com a instalação.
Os componentes também se conectam a um servidor de controle, agindo como uma "porta dos fundos" para os hackers.
A WordFence, por sua vez, alertou que hackers estão se aproveitando de falhas no ThemeREX Addons e no Duplicator Plugin.
A WordFence estima que o Duplicator Plugin esteja instalado em 1 milhão de sites. A brecha permite que um hacker baixe arquivos do servidor web, o que pode expor certas informações – entre elas a senha do banco de dados, capaz de comprometer todo o site se alguma senha for repetida ou se o banco de dados não bloquear acessos externos. Administradores podem instalar a versão do Duplicator Plugin 1.3.28 ou outra mais recente para protegerem suas páginas.
Já o ThemeREX Addons faz parte de mais de 460 temas para o WordPress e estaria em uso em pelo menos 44 mil sites. A brecha está sendo usada por hackers para tomar o controle das páginas, permitindo todo tipo de alteração no conteúdo e a execução de comandos no servidor. Não há atualização para corrigir a falha e a recomendação é desativar o componente.
Por fim, a WebARX alertou para uma falha grave no importador de conteúdo do ThemeGrill (ThemeGrill Demo Importer). A vulnerabilidade pode ser usada para apagar todo o conteúdo do site e conseguir acesso à instalação do WordPress.
Se a brecha apenas removesse o conteúdo, a solução seria simples – bastaria restaurar os dados. Porém, como o hacker também ganha acesso ao painel de administração, ele pode executar comandos no servidor e instalar outros arquivos, o que vai exigir uma análise mais aprofundada para garantir que o site esteja livre de invasores. No mínimo, o WordPress precisará ser completamente reinstalado.
A brecha é fácil de ser explorada, exigindo apenas o acesso a um endereço específico pelo navegador web. Não são necessárias outras ferramentas.
Para corrigir o problema, é necessário instalar o ThemeGrill Demo Importer 1.6.3. O desenvolvedor observou, porém, que a melhor medida é simplesmente desativar o componente. Depois que ele foi usado para realizar uma importação de conteúdo, ele não precisa permanecer ativo.
