Plugin WordPress Buggy permite que os usuários limpem sites inteiros
Pesquisadores de segurança com Wordfence - um plugin focado em segurança para WordPress - encontraram um bug crítico em outro plugin para a plataforma de publicação. O problema foi detectado no complemento HashThemes Demo Importer para WordPress e a gravidade do problema é bastante alta.
A falha no plugin HashThemes Demo Importer permitia que um usuário que se logou na plataforma WordPress e tivesse acesso ao back-end de um site apagasse completamente todo o conteúdo, incluindo páginas, artigos e mídia, bem como o conteúdo dos bancos de dados usados pelo site. Segundo as estatísticas, cerca de 8 mil sites tinham o plugin ativo quando o bug foi descoberto.
O objetivo original do plugin de importação de demonstração é permitir que os administradores de sites baseados em WordPress importem demonstrações de temas visuais e designs do WordPress com um único clique. O plugin acelera significativamente o processo de visualização e não envolve o manuseio manual de diferentes arquivos de configuração que podem ser específicos para o site e tema usado.
A equipe do Wordfence revelou o bug seguindo o protocolo devido, mas o desenvolvedor do importador de demonstração não respondeu por semanas a fio. Por fim, os pesquisadores levaram o problema diretamente para a equipe de plug-ins do WordPress e a versão defeituosa do plug-in foi retirada do ar no mesmo dia. Quatro dias depois, uma versão corrigida e corrigida foi colocada de volta.
O Wordfence explicou que o problema com o plug-in estava na maneira como ele estava usando Ajax. O bug permitia que qualquer usuário que estivesse logado, mesmo aqueles com direitos padrão muito limitados e acesso, como assinantes, fizesse mudanças drásticas no site, incluindo a eliminação completa de todo o conteúdo do site que executa o plugin.
A conclusão simples aqui é que cada plug-in conveniente que você pode querer adicionar à configuração existente do WordPress aumenta a superfície potencial para ataque. Funcionalidades mais ricas e facilidade de uso nem sempre precisam ser prejudicadas pela segurança, mas com plug-ins de terceiros, há sempre a possibilidade de que algumas rachaduras estejam presentes e ocultas à vista de todos.