Falha no WordPress permite exclusão de arquivos

15/10/2018 às 09:50 WordPress

Falha no WordPress permite exclusão de arquivos

Especialistas de segurança cibernética identificaram uma nova brecha de segurança na versão 4.9.6. do WordPress e também nas versões anteriores.

A falha de segurança se encontra no gerenciamento de mídia, e permite que invasores acessem o sistema e possam pagar arquivos de suma importância para um blog na plataforma.

Entre estes arquivos está o wp-config.php, cujo qual um permite aos hackers reinstalarem o programa do WordPress novamente num computador.

Devido a essa falha de segurança,criminosos virtuais podem aproveitar para apagar arquivos e criar uma conta de administradores de qualquer site dentro do CMS.

O que chama ainda mais atenção é que essa falha não afeta a versão 4.9.6., uma das versões mais recente da plataforma, mas também todas as anteriores.

Os profissionais do WordPress já trabalham para distribuírem um pack de manutenção que possa corrigir o sistema e eliminar a brecha para os usuários que utilizam a versão 4.9.7. da plataforma.

Como hackers podem aproveitar essa falha de segurança?

Os hackers que identificam e atuam em cima dessa brecha, tendem a excluir o arquivo wp-config.php para que o sistema seja “reinstalado”.

Com isso, eles conseguem criar um novo usuário no servidor de nível administrador e passam a ter direito a fazerem praticamente tudo dentro da aplicação web.

Para que os hackers conseguem se aproveitar plenamente da brecha, eles precisam que esse novo usuário tenha conseguido o nível de administrador para ter como manipular todos os arquivos do sistema.

Por isso, para eles é tão importante reiniciarem o servidor.

A falha é tão grave que o novo usuário criado pelos hackers pode apagar qualquer arquivo do serviço do WordPress, podendo ainda aplicar a exclusão arbitrária para “passar por cima” das medidas de segurança da plataforma.

Além do arquivo wp-config.php, que permite aos hackers reexecutar a instalação, os arquivos index.php, pode ser afetado o que expõe todos os diretórios e arquivos da aplicação web, e o .htacess, que ao ser excluído proporciona aos criminosos a oportunidade de enganar o sistema de segurança do WordPress.

Teste 30 dias de Hospedagem de Site.

Como eliminar essa brecha de segurança no WordPress?

O primeiro passo, obviamente, é atualizar o WordPress para a versão mais recente possível.

As novas atualizações do CMS trazem packs que conseguem corrigir os bugs de versões anteriores, assim acabando com as brechas do sistema.

E como há uma recomendação dos especialistas, manter o WordPress sempre na versão mais recente é o ideal para que seu site esteja mais protegido.

Quanto mais recente for sua versão do CMS, menos falhas de segurança ela tende a ter.

Para quem deseja continuar com a versão 4.9.6 ou anterior do WordPress é preciso fechar a brecha de segurança através de códigos.

E para isso é preciso que você conte com um profissional de programação para que ele conseguir inserir um código dentro do arquivo functions.php e assim eliminar essa brecha de segurança.

É claro que se você atualizou a sua aplicação para uma versão mais recente do WordPress, o que é mais simples e pode ser feito por qualquer um, você não precisará realizar o processo descrito acima, a falha já está corrigida após a atualização.

Confira abaixo mais dicas para manter a sua aplicação WordPress em segurança:

Renomeie a sua URL de login

Por padrão do WordPress, toda página de login da plataforma tem as seguintes terminações: wp-admin ou login.php.

E uma das coisas simples que é possível fazer para aumentar a segurança do sistema é justamente renomear a URL dessa página.

Essa é uma ação relativamente fácil e que pode eliminar uma das oportunidades mais propícias para a atuação de hackers.

Quando um hacker conhece a URL da sua página de lógico, ele passa a usar vários tipos de programas para tentar dentre várias combinações, acertar o nome de usuário e senha e muitas vezes eles conseguem.

Por isso, se você sair do obvio e mudar a URL da sua página de login, você terá reduzido consideravelmente a chance de os criminosos virtuais conseguirem invadir o servidor do seu site através deste método.

Dessa maneira, é possível usar o plugin iThemes Security é possível alterar a URL de login e evitar que pessoas más intencionadas tenham uma facilidade maior em aproveitar as brechas de segurança do WordPress.

Confira também: Hospedagem de Site grátis – Bom negócio ou cilada?

Resguarde o diretório wp-admin

Como bem sabemos, o diretório wp-admin é essencial para qualquer site desenvolvido no WordPress.  

Em resumo, se esse diretório não for protegido e os hackers conseguirem acesso a ele, seu site pode sofrer danos irreversíveis.

Para evitar isso, o ideal é que você resguarde essa aplicação, colocando uma senha no diretório.

Essa é uma medida de segurança que aumenta a proteção do sistema para o proprietário do site e dificulta a vida dos hackers.

Dessa forma, você passará a ter duas senhas, uma para login na plataforma e outra para ter acesso a área de gerenciamento do seu site em WordPress.

Isso restringe a outros usuários os poderes de acessarem partes importantes do diretório wp-admin, o que diminui as chances de invasão e danos ao seu site.

Resguarde o arquivo wp-config.php

Esse arquivo é crucial para o WordPress e acho que você já percebeu isto ao ler este texto.

O wp-config.php armazena informações importantes da instalação do sistema e é o arquivo mais importante dentro do servidor WordPress.

Para elevar o nível de segurança do seu site é preciso proteger esse arquivo.

Isso tornará a vida dos hackers muito mais difícil, já que burlar a segurança do sistema será extremamente complicado se eles não tiverem acesso a este arquivo.

Para resguardar o arquivo, basta colocar o wp-config.php em um nível superior no diretório raiz do sistema.

Isso deixará o seu site com um nível de segurança muito mais elevado do que os da maioria hospedados no WordPress.

Gostou? Confira mais dicas em nosso blog. Conheça o nosso serviço de Hospedagem de Site.

Gostou de nosso post? Compartilhe: