Plugins vulneráveis WordPress.org

fecharEste post foi publicado há mais de seis meses, e as informações aqui contidas podem estar desatualizadas ou mesmo não terem mais nenhuma validade. Não nos responsabilizamos por eventuais mal entendidos.

Plugins são complementos ao WordPress que permitem à plataforma atender necessidades específicas. Boa parte da popularidade do WordPress vem exatamente destes programas acessórios, que permitem fazer mais e melhor com este CMS*.

Quando você instala o WordPress em seu servidor VPS ou dedicado, tem à disposição de seu site sistemas de backup automático, mais segurança, calendários que ajudam na produção de conteúdo ou plugins de cache, entre muitos outros.

Os plugins costumam melhorar a performance do seu site e expandem as possibilidades do WordPress como sistema de publicação

Mas, porém, todavia, contudo… nem sempre é possível confiar no repositório oficial do WordPress.org. Segundo estudo feito pela desenvolvedora Isabel Castillo no ano passado, existiam mais de três mil plug-ins abandonados por lá. Alguns sem atualizações há mais de dez anos. O plugin Jason’s User Comments, por exemplo, tem mais de mil instalações ativas, embora não seja atualizado há mais de 12 anos.

Inspirado neste estudo, um dos pesquisadores do Wordfence (sim, um plugin de segurança para WordPress), fez um estudo dos plugins abandonados no repositório para descobrir se eles continham falhas que deveriam ser corrigidas.

Plugins abandonados e com vulnerabilidade no WordPress

Pan Vagenas, o pesquisador, descobriu o seguinte:

  • Existem hoje 37.300 plugins disponíveis no repositório oficial do WordPress;
  • 383 não foram atualizados nos últimos 2 anos
  • 665 são compatíveis com o WordPress 4.0, lançado em setembro de 2014
  • 990 plugins não são atualizados desde 2010 (8 anos, portanto)
  • Existem outros 29.892 plugins no repositório de códigos que não estão listados no diretório oficial.

Segundo a análise feita no Wordfence existem 18 plugins abandonados que têm vulnerabilidades que não foram corrigidas (veja a tabela abaixo). Todos eles não são atualizados há mais de 2 anos e têm milhares de instalações ativas.

Foram encontrados também 4 plugins (marcados com asterisco na tabela) que têm correção para os seus problemas. Mas essa correção foi feita de tal forma, que a atualização não foi enviada automaticamente para as instalações ativas. Seus autores não fizeram novas versões, com números e tags apropriadas no repositório – e os usuários ainda têm a vulnerabilidade instalada.

Todas as vulnerabilidades publicadas na tabela abaixo são públicas por cerca de 3 anos. Elas foram mostradas, mas os autores não as corrigiram.

PluginsInstalaçõesVersãoÚltima
Atualização
Tipo de Vulnerabilidade
WP PHP widget*300001.0.210/11/2010FPD
WP Post to PDF10002.3.118/08/2012XSS
Spreadsheet10002.005/12/2012XSS
Bookmarkify8001.1.315/02/2010XSS
Xorbin Digital Flash Clock6001.024/04/2013XSS
Image Metadata Cruncher5001.813/03/2013XSS
FAQs Manager4001.010/12/2012SQLI, XSS, desconhecida, CSRF
Easy Banners3001.410/12/2012XSS
The Crawl Rate Tracker2002.0.204/09/2011SQLI
ThinkIT WP Contact Form2000.124/07/2014CSRF
WordSpew*1000.015/09/2005SQLI
Bib2html*1000.9.331/10/2007XSS
Dynamic Font Replacement1001.3 EN13/10/2009SQLI
Floating Tweets1001.0.113/06/2011XSS, desconhecida
A to Z Category Listing1001.213/09/2011SQLI
URL Cloak & encrypt703.8.005/01/2014XSS
Spicy Blogroll401.0.020/01/2011RFI
stripShow*402.5.202/12/2013SQLI
Page Showcaser Boxes401.116/02/2014XSS
Monetize301.0.302/11/2013XSS
Starbox Voting102.0.405/05/2009FPD
Blogstand Banner101.009/10/2012XSS

Plugins que expõem a instalação do WordPress

Há uma outra categoria de plugins que é bloqueada na PortoFácil: os que obrigatoriamente expõem a instalação do WordPress.

Tais plugins não se utilizam das melhores práticas relativas a conteúdo dinâmico nas páginas e posts publicados, expondo o caminho da instalação do WordPress ao “chamar” scripts diretamente abaixo de /wp-content — o que também é um problema de alguns poucos temas, felizmente cada vez mais raros.

Nossos servidores são configurados de maneira a bloquear totalmente qualquer tentativa de acesso a scripts diretamente abaixo de /wp-content porque é ali que serão injetados códigos maliciosos no caso de uma invasão bem sucedida.

O que fazer se você instalou um desses plugins?

Se o plugin não estiver marcado com asterisco, o ideal é desabilitá-lo e desinstalar. Depois, entre em contato com o autor, através do fórum de suporte no WordPress.org.

Se o plugin tem asterisco, basta desabilitar, remover e reinstalar a última versão. Mesmo assim, o Wordfence não auditou cada plugin e não se responsabiliza pelas correções.

Aqui na PortoFácil, nós continuaremos atentos a plugins maliciosos para evitar seu uso. E continuaremos a trazer a última informação para vocês. Caso tenha dúvida, nosso suporte está sempre à disposição.

*CMS, Content Management System, é a sigla para plataformas de gerenciamento de conteúdo, como o WordPress, Joomla ou Drupal, entre muitas outras.

Fonte: Wordfence
Foto: Markus Spiske on Unsplash

 

Quero ser cliente da PortoFácil!Contato

Avalie este conteúdo!

Avaliação média: 4.54
Total de Votos: 39

Plugins vulneráveis WordPress.org

Compartilhe

Publicado por Lucia Freitas – 02 de abril de 2018