Você está lendo:

Megahack na atualização automática do WordPress foi impedido

Sobre:
Megahack na atualização automática do WordPress foi impedido

Um bug na atualização automática do WordPress foi descoberto e solucionado antes mesmo que a falha se tornasse um megahack.

Aminy Gusmão
Megahack segurança WordPress

Que o WordPress está em constante atualização, não é nenhuma novidade para quem acompanha o CMS. Quem acompanha ainda mais de perto, sabe também que bloquear as atualizações, cria um campo de possibilidades de invasões. A segurança depende da atualização do sistema.

O megahack que quase…, mas não foi

Pois bem, há pouco o WordFence descobriu uma vulnerabilidade que poderia atacar até 27% da web por meio da atualização automática. Imagina um megahacking nessas proporções, todos os danos que causaria.

megahackA falha de execução remota de código foi encontrada em um webhook dentro do servidor de atualização, api.wordpress.org. O webhook permitiria que desenvolvedores do WordPress sincronizassem seu código ao repositório de código wordpress.org. Assim, permitindo a utilização do GitHub como repositório do seu código fonte principal.

“Quando cometem uma mudança para GitHub ele vai chegar e bater um URL na api.wordpress.org que depois desencadeia um processo em api.wordpress.org que traz para baixo o código mais recente que apenas foi adicionado ao GitHub.
O problema com este webhook particular era que permitia que os desenvolvedores fornecessem seu próprio algoritmo de hash para verificar se as atualizações de código são legítimas. Não importava se era GitHub ou um atacante bater o webhook: ou poderia alimentar no algoritmo de hash usado para verificar a autenticidade da mensagem.” (Wordfence)

Como aconteceria

Dado um algoritmo de hash bastante fraco, os atacantes poderiam de força bruta ataque a webhook com um número de suposições que não iria desencadear os sistemas de segurança do WordPress.

WordFence conseguiu chegar a um algoritmo que reduziu a quantidade de suposições de 400.000 para apenas 100.000 suposições, com chaves geradas aleatoriamente, no valor de hash da chave secreta compartilhada. Essa suposição levaria apenas poucas horas.

Com a porta aberta, os atacantes poderiam enviar URLs para os servidores de atualização do WordPress, e depois, empurrá-los para fora para todos os sites WordPress.

Isso seria o inferno para o CMS mais popular do mundo. Mas é exatamente para que isso não aconteça que tantas pessoas no mundo inteiro se envolvem com o desenvolvimento da plataforma. O desenvolvedor que descobriu o problema trabalha no Wordfence e avisou a equipe WordPress imediatamente via relatório.

Se algo do tipo tivesse acontecido, seria como um grande apagão de mais de um quarto 1/4 da internet. Porém, nada disso justifica o não uso das atualizações automáticas.

Conclusão

A verdade é que esse megahack foi impedido antes mesmo de existir e deixar o site desatualizado é ainda mais perigoso. Mantenha sempre uma atenção especial sobre a segurança do seu site

Gostou da postagem? Compartilhe!

WP Care - O produto da Apiki de suporte e manutenção contínua de seu projeto em WordPress
Se você gostou desse artigo sobre Segurança para WordPress, provavelmente vai gostar de: Mais posts como este