27% dos sites na internet podem ser hackeados pelo WordPress Auto-Update

3d illustration of a large padlock attached to a metallic Wordpress logo over a dark gray reflective surface

No dia 22 de novembro de 2016 o Lead Wordfence Developer Matt Barry, da empresa que desenvolve soluções em segurança em WordPress a WordFence, realizou um profundo estudo comprovando que sites em WordPress podem ser Hackeados através de uma vulnerabilidade na função de Auto-Update, por padrão configurada na instalação incial do sistema.

Uma pesquisa realizada pelo site W3techs, mostra que em 23 de novembro de 2016 o WordPress consta como o sistema de gerenciamento de conteúdo detentor de aproximadamente 27% de todos os websites na WEB (veja aqui a tabela). Caso esta vulnerabilidade seja explorada, o tamanho do problema pode ser gigantesco.

No artigo original, que pode ser conferido clicando aqui, é explicado em detalhes como a pesquisa foi conduzida.

O WordPress hoje para atualização de seu core utiliza um servidor único, onde os websites conferem sistematicamente a existência de atualizações a serem efetuadas, as quais no momento em que o administrador do WordPress realiza o login no painel de controle, são mostradas em mensagens normalmente localizadas em destaque na parte superior da página.

O que Matt Barry destaca, é o ponto de falha único que existe nesta operação, pois por padrão o WordPress é instalado com o modo update automatico, e que pode ser explicado de uma forma simples:

Abaixo conferimos como ocorre normalmente, os websites realizam uma consulta no servidor do WordPress (api.wordpress.com), que por sua vez fornece o alerta de eventual nova versão ao website, e assim realiza o download dos arquivos necessários para a atualização de versão do repositório de arquivos, seja de plugins ou do próprio core do WordPress:

api-normal

crédito: https://www.wordfence.com/blog/2016/11/hacking-27-web-via-wordpress-auto-update/

 

A falha é apontada em uma vulnerabilidade na comunicação destes servidores, que pode ser explorada, e arquivos maliciosos podem ser inseridos no core do WordPress de forma automática, então vemos abaixo o que pode ocorrer:

api-compromised

crédito: https://www.wordfence.com/blog/2016/11/hacking-27-web-via-wordpress-auto-update/

 

A falha foi apontada para a equipe da Automattic, empresa mantenedora do WordPress, no dia 2 de setembro de 2016, e já no dia 7 de setembro uma atualização de segurança foi desenvolvida.

Porém, conforme o artigo, o ponto de falha continua único, e o retorno devido a esta eventual vulnerabilidade nao foi dado para a equipe da Wordfence.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *