Falha no Wordpress poderia ter comprometido 25% de todos os websites do mundo

O Wordpress vinha colocando cerca de 25% de todos os sites da internet em risco devido a uma falha de segurança que só se tornou público nesta quarta-feira (23). A brecha de segurança foi confirmada por Matt Barry, líder de desenvolvimento de uma das mais populares soluções de segurança para a plataforma, a WordFence.

De acordo com o especialista, o problema já foi corrigido e afetava os servidores de atualização do Wordpress, o que virtualmente colocava em perigo todos os sites que utilizavam o serviço. Ao que tudo indica, o código PHP webhook da API do serviço fazia uma má implementação de um algoritmo de criptografia, o que abria espaço para que crackers conseguissem descriptografar uma chave secreta em poucas horas usando força bruta.

Com a chave descriptografada, os indivíduos mal-intencionados conseguiam se comunicar com os servidores de atualização do Wordpress e disparar URLs e softwares maliciosos, que seriam instalados automaticamente em todos os sites que usam a plataforma. E isso não é pouca coisa, já que dados da W3techs indicam que 27,1% de todos os sites da web são feitos com Wordpress.

Mais do que isso, Barry alega que os sites afetados por esse problema poderiam estar comprometidos indefinidamente. Nesse caso, os atacantes poderiam desativar o recurso de atualização automático dos sites e impedir que uma eventual correção fosse baixada. Como isso é um tipo de configuração que se mexe apenas uma vez, seriam grandes as chances de os administradores jamais descobrirem que estavam com a funcionalidade desativada.

Embora a falha tenha sido relatada e corrigida ainda em setembro, o especialista em segurança acredita que é importante que o mecanismo de atualizações automáticas implemente procedimentos de autenticação e validação do usuário. Do contrário, crackers podem encontrar uma nova forma de burlar o sistema e comprometer os sites da plataforma.

Fonte: The Register