Vulnerabilidade no WordPress pode afetar centenas de sites

Falha em script do maior CMS do mundo pode comprometer centenas de sites a partir de apenas um computador.


O WordPress é hoje o maior CMS do mundo, sendo responsável por rodar 28% dos sites da Internet e é um dos grandes responsáveis pela popularização da internet e da construção de websites nas últimas décadas. Contudo, por mais robusto e complexo que seja um sistema, sempre haverá possibilidades de erros ou falhas de segurança, mesmo que mínimas.

Qual a vulnerabilidade? ?

No dia 5 de Fevereiro, o israelense Barak Tawily descobriu uma falha em um script do WordPress que pode afetar websites construídos na plataforma. Tudo tem a ver com o script load-script.php. Esse script realiza todas as requisições ao servidor de uma vez só, juntando todos os arquivos JavaScript. Tawily descobriu que esse script pode ser utilizado para dar início a um DoS Attack (Ataque de negação de serviço).

O que é um DoS Attack? ⚙

Esse tipo de ataque não é uma invasão aos websites de forma direta. Ao invés disso, ele gera uma espécie de **sobrecarga de recursos! **Essa sobrecarga representa algo muito maior do que a infraestrutura pode suportar, o que pode fazer com que os websites saiam do ar.

Como a vulnerabilidade é utilizada? ?

Tawily demonstrou que, já que qualquer um pode executar o load-scripts.php sem a necessidade de autenticação, qualquer pessoa pode realizar inúmeras execuções do load-script.php. Isso fará com que centenas de arquivos em JavaScript sejam requisitados repetidamente no servidor. Esse número de requisições muito maior que o normal pode acarretar em uma sobrecarga e, consequentemente, na queda do site.

O que posso fazer para corrigir isso? ?

Aqui temos uma boa notícia... você não precisa fazer nada!

Se você hospeda sua aplicação WordPress com a Configr, saiba que já realizamos todos os procedimentos para corrigir essa falha em todas as aplicações WordPress hospedadas conosco ?

Estamos sempre monitorando possíveis falhas de segurança em aplicações de terceiros que possam afetar nossos clientes. Trabalhamos sempre o mais rápido possível para corrigir todas elas.