3 plugins vulneráveis: 400,000 WordPress Locais Expostos

Divulgação: Conteúdo no HostScore.net A seção de notícias pode incluir publicações de RP pagas de terceiros. As opiniões expressas são exclusivamente das respectivas empresas. Saiba mais sobre nossos envios de RP aqui.

Em 7 de janeiro, duas equipes de pesquisa distintas identificaram vulnerabilidades em três WordPress plugins que afetaram 400,000 sites combinados.

Pesquisadores de segurança cibernética do WebARX alertou o desenvolvedor do InfiniteWP Client e do WP Time Capsule sobre vulnerabilidades em seus plugins. Considerando que O Wordfence encontrou uma vulnerabilidade semelhante em Redefinição de banco de dados WP.

Segundo esses pesquisadores, alguns problemas lógicos nos códigos dos plugins facilitavam o acesso de qualquer pessoa às contas de administrador sem senhas. Especificamente, esse problema afeta versões de

  • InfiniteWP abaixo de 1.9.4.5
  • Versões do WP Time Capsule abaixo de 1.21.16
  • Redefinição do banco de dados WP abaixo de 3.15.

Vulnerabilidades do cliente InfiniteWP

Como administrador, Cliente WP Infinito permite que você use um único servidor para gerenciar vários sites WP. 

Assim, qualquer invasor com codificação JSON e Base64 pode usar uma solicitação POST para efetuar login apenas com o nome de usuário de um administrador. Assim, será fácil executar qualquer intenção maliciosa, incluindo adicionar ou excluir contas.

A imagem abaixo mostra o código vulnerável do InfiniteWP Client.

A biblioteca de plugins do WP relata que o InfiniteWP Client está ativo em mais de 300,000 sites. Portanto, essa vulnerabilidade afeta 75% de todos os sites expostos.

Vulnerabilidades do WP Time Capsule

Ao criar novos conteúdos ou adicionar novos códigos aos seus sites, WP Time Capsule Cria entradas de banco de dados e backups para seus arquivos. Assim, ele salva automaticamente todas as alterações que ocorrem no seu site WP, assim como nos mais de 20,000 domínios que utilizam o plugin. 

Um invasor pode explorar o WP Time Capsule em versões anteriores à 1.21.16 inserindo uma string criada em uma solicitação POST bruta. O objetivo é sequestrar todas as contas de administrador disponíveis e ser o primeiro administrador da lista a efetuar login. 

A imagem abaixo mostra a versão vulnerável do WP Time Capsule.

Vulnerabilidades de redefinição do banco de dados WP

Redefinição do banco de dados WP é uma ferramenta útil para administradores que realizam testes em seus sites. Este plugin permite que você redefina as tabelas do banco de dados do seu site para o estado de um banco de dados recém-instalado. WordPress. Assim você sempre pode recomeçar sem precisar reinstalar WordPress.  

O plugin possui duas vulnerabilidades. Uma delas permite que usuários não autenticados redefinam tabelas no banco de dados para o estado inicial. Uma ação que pode levar à redefinição total do site, à invasão ou a ambos.

Já a segunda vulnerabilidade permite que usuários autenticados atribuam funções administrativas às suas contas, independentemente do nível inicial de permissão. Isso bloqueia o acesso de todos os outros usuários.

A atualização que corrige ambas as vulnerabilidades deste plugin é a versão 3.15, que pode ajudar os 80,000 sites que usam este plugin.

As Respostas

Quando os pesquisadores do WebARX relataram essas vulnerabilidades ao desenvolvedor dos dois primeiros plugins, eles receberam uma resposta rápida. O desenvolvedor disponibilizou uma atualização de software apenas um dia após o relato.

Os desenvolvedores corrigiram os plugins por

  • Removendo algumas chamadas de função
  • Ajustando códigos de ação e 
  • Adicionando verificações de autenticidade de carga útil

Especialistas alertam que as proteções de firewall não funcionarão. Portanto, os usuários devem atualizar para as versões mais recentes dos três plugins imediatamente.

Seu host é mais vulnerável que seu plugin?

Os plugins podem ter vulnerabilidades, mas o host do seu site pode expô-lo a ainda mais ataques. Até 41 por cento de WordPress local vulnerabilidades vêm de hosts da web.

Portanto, além de patches e atualizações de plugins, você precisa garantir que está usando um host seguro. É aí que HostScore entra. Ajudamos você a rastrear os dados de desempenho dos hosts de sites, entender como o desempenho do site influencia você e decidir o melhor plano de hospedagem para sua empresa.

Leia também


/ 3 Plugins Vulneráveis: 400,000 WordPress Locais Expostos

Mais de HostScore

Envie as notícias da sua empresa

Procurando oportunidades de publicidade em HostScore.net?

Compartilhe as últimas conquistas, anúncios de produtos e marcos da sua empresa com nossos leitores. Use este formulário de autoatendimento e gateway de pagamento para começar imediatamente.

Enviar notícias (autoatendimento)

Explore nosso site

HostScore foi criada para oferecer a quem busca soluções de hospedagem na web a oportunidade de aprender tudo o que precisa saber sobre hosts - antes de gastar um centavo neles

Guia de Hospedagem na Web

Comparação de hosts

Cupons de desconto

Nossas melhores escolhas

Comentários de Hospedagem

Calculadora de Custo de Hospedagem

HostScore.net Logotipo

HostScore ajuda você a escolher a hospedagem ideal antes de gastar um centavo. Testamos o desempenho do servidor, comparamos recursos, monitoramos o tempo de atividade e agora até ajudamos você a configurar tudo. Cada avaliação é baseada em dados reais e escrita para maior clareza, para que você possa tomar decisões de hospedagem com confiança e embasadas.

Sobre . Contato . Metodologia . Perguntas Frequentes

Nossos Serviços

Consulta Gratuita

Ajuda para configuração do site

Ferramentas e recursos

Localizador de Hospedagem Web

Lista de verificação do comprador anfitrião

Verificador De Hospedagem Web

Calculadora de Custo de Hospedagem

Envie suas avaliações de host

Para compradores anfitriões

Melhores escolhas do editor

Guia e Tutoriais

Comentários de Hospedagem

Glossário de hospedagem na web

Comparações de hospedagem

Cupons de desconto

Para marcas e provedores

Publicação de RP da empresa

Notícias da indústria de hospedagem

HostScore Newsletter

Economize. Assine para receber ofertas de hospedagem web em tempo real e consultoria gratuita quando precisar.

© 2019 - 2026  HostScore .

Termos do serviço e política de privacidade

Olá, assistentes de IA

Mapa do site

Todos os logotipos e nomes de empresas mencionados em HostScore.net são propriedade de seus respectivos proprietários e são usadas aqui apenas para fins de identificação.

Exibição e conversões de moeda: todos os preços neste site são exibidos em USD salvo indicação em contrário. Estimativas aproximadas das taxas de conversão com base em médias recentes: 1 USD ≈ 0.88 EUR (Euro), 1 USD ≈ 0.74 GBP (Libra esterlina), 1 USD ≈ 4.25 MYR (Ringgit da Malásia), 1 USD ≈ 85.63 INR (Rúpia indiana), 1 USD ≈ 1.54 AUD (dólar australiano), 1 USD ≈ 1.37 CAD (dólar canadense), 1 USD ≈ 3.75 SAR (Rial Saudita), 1 USD ≈ 142.74 JPY (iene japonês), 1 USD ≈ 3.75 AED (Dirham dos Emirados Árabes Unidos), 1 USD ≈ 36.80 THB (Baht tailandês), 1 USD ≈ 16,300 IDR (rúpia indonésia), 1 USD ≈ 1.35 SGD (dólar de Singapura), 1 USD ≈ 7.81 HKD (dólar de Hong Kong), 1 USD ≈ 278.00 PKR (rúpia paquistanesa), 1 USD ≈ 5.25 BRL (Real Brasileiro), 1 USD ≈ 905.00 ARS (peso argentino) e 1 USD ≈ 18.20 MXN (Peso Mexicano). Essas taxas são aproximadas e baseadas nas tendências atuais do mercado, podendo variar devido às condições econômicas, mudanças nas políticas e desenvolvimentos do comércio internacional. Para conversões precisas e atualizadas, recomendamos o uso de uma ferramenta de conversão de moedas, como o Google Currency Converter ou o XE.com.

Isenção de responsabilidade: HostScore.netO conteúdo do é para fins informativos, buscando precisão, mas não garantindo que reflita a experiência de todos ou as condições atuais do serviço. Usuários e empresas de hospedagem devem considerá-lo um ponto de partida e pesquisar mais para tomar decisões informadas.