Search the Community

O WP Statistics, plug-in do WordPress, tem uma vulnerabilidade de segurança de injeção de SQL que pode permitir que visitantes do site obtenham todos os tipos de informações confidenciais de bancos de dados, incluindo e-mails, dados de cartão de crédito, senhas e mais. Quem descobriu o bug foram os pesquisadores do Wordfence, e um patch já foi lançado para corrigir a falha. Segundo publicação da empresa de segurança, o plug-in já foi instalado em mais de 600 mil sites WordPress. Ele fornece aos proprietários de sites estatísticas detalhadas sobre os visitantes, incluindo quais páginas do site eles visitam. O administrador do site pode acessar o item de menu “Pages” e gerar uma consulta SQL para exibir estatísticas sobre quais páginas receberam mais tráfego. A falha de alta gravidade na função “Pages” abre brecha para que qualquer visitante do site, mesmo sem um login, faça uma consulta SQL. Para usuários com o plug-in instalado em seu site, a Wordfence recomenda a atualização para a versão corrigida 13.0.8 o mais rápido possível.

A equipe de desenvolvimento do NextGEN Gallery corrigiu duas vulnerabilidades graves para proteger os sites de possíveis ataques de controle. O plugin do WordPress é usado para criar galerias de imagens e, segundo o BleepingComputer, tem atualmente mais de 800 mil instalações ativas. As falhas encontradas no plugin são de cross-site request forgery (CSRF), que permite que comandos não autorizados sejam transmitidos a partir de um usuário em quem a aplicação confia. Assim, a atualização de segurança deve ser uma prioridade para todos os proprietários de sites que têm o NextGEN Gallery instalado. As duas vulnerabilidades de segurança são classificadas como de severidade alta e crítica pela equipe de Threat Intelligence do Wordfence que as descobriu, segundo o BleepingComputer. Atacantes podem explorar essas falhas enganando os administradores do WordPress para que eles cliquem em links ou anexos especialmente criados para executar códigos maliciosos em seus navegadores. Após a exploração bem-sucedida, as vulnerabilidades podem permitir que os invasores configurem um redirecionamento malicioso, injetem spam, abusem de sites comprometidos para phishing e, em última análise, assumam completamente o controle dos sites. O editor do plugin, Imagely, enviou patches para revisão em 16 de dezembro e publicou a versão 3.5.0, corrigida, em 17 de dezembro de 2020. Ainda assim, a nova versão tinha esta semana pouco mais de 266 mil novos downloads, conforme informa o BleepingComputer, o que significa que mais de 530 mil sites WordPress com instalações do NextGEN Gallery ativas estão potencialmente expostas a ataques de controle se os invasores começarem a explorar os bugs. 😬

Ao longo de 2020, mais de 90 bilhões de tentativas de login maliciosas ao WordPress foram bloqueadas. Essas tentativas foram provenientes de mais de 57 milhões de endereços IP únicos. Isso se refere a uma taxa de 2,8 mil ataques por segundo direcionados ao WordPress. Os dados são da Wordfence Threat Intelligence. Segundo a empresa, as tentativas mal-intencionadas de login foram o vetor de ataque mais comum para sites WordPress no ano passado, incluindo ataques de credential stuffing, no qual os criminosos usam listas de credenciais roubadas para tentar entrar em um sistema. A Wordfence classifica os ataques ao WordPress em três categorias principais: tentativas de login mal-intencionadas; ataques de exploração de vulnerabilidade; e malware de plugins nulled – versões piratas de um plugin premium. Mais de 4,3 bilhões de tentativas de explorar vulnerabilidades vindas de mais de 9,7 milhões de endereços IP exclusivos também foram bloqueadas pela Wordfence em 2020. Os ataques Directory Traversal – ataque de passagem de diretório –, incluindo caminhos relativos e absolutos, representaram 43% de todas as tentativas de exploração de vulnerabilidade, com 1,8 bilhão de ataques. SQL Injection foi a segunda categoria de vulnerabilidades mais comumente atacada, com 21% de todas as tentativas (909,4 milhões de ataques). Uploads de arquivos mal-intencionados com o objetivo de alcançar a Execução Remota de Código (RCE) foram a terceira categoria de vulnerabilidades mais comumente atacada em 11% de todas as tentativas, com 454,8 milhões de ataques. Cross-Site Scripting (XSS) foi a quarta categoria de vulnerabilidades mais comumente atacada, com 8% de todas as tentativas, comando 330 milhões de ataques. As vulnerabilidades do Bypass de autenticação foram a quinta categoria de falhas mais comumente atacada, com 3% de todas as tentativas e 140,8 milhões de ataques. O scanner Wordfence também detectou mais de 70 milhões de arquivos maliciosos em 1,2 milhão de sites WordPress no ano passado. A grande maioria desses sites foi limpa no final do ano e apenas 132 mil sites infectados no início de 2020 ainda estavam infectados no final do ano. O malware WP-VCD foi a ameaça mais comum para o WordPress, representando 154.928 ou 13% de todos os sites infectados em 2020.