📅 Conexão KingHost 🚀 Especial Mês das Mulheres - Aulas para apoiar o empreendedorismo feminino 💰

Kinghost | Blog

Vulnerabilidade no plugin Easy WP SMTP

Publicado em 21/03/2019

Atualizado em 10/10/2023

O plugin ?Easy WP SMTP? possui uma brecha de segurança em uma de suas versões mais recentes que pode comprometer seriamente a segurança e funcionamento do seu site WordPress.

Para ser mais preciso, a brecha está na versão 1.3.9 do plugin. Nessa falha de segurança o atacante consegue ter acesso ao banco de dados utilizado pelo WordPress e pode então alterar registros da base.

O acesso à base por parte do atacante pode comprometer todo o site, pois a partir disso ele pode assumir ser um usuário administrator e assim conseguir fazer qualquer modificação no site. Além disso, ele pode facilmente apagar registros e acabar quebrando toda a aplicação.

Na maioria das vezes, o atacante acaba colocando scripts de redirecionamento para sites maliciosos. Isto é, ao acessar seu site você acaba caindo em outro sem relação alguma com o seu.

O site do WordFence (um plugin de segurança para WordPress) publicou um artigo sobre essa vulnerabilidade. Como explicado no post, essa vulnerabilidade surgiu justamente nessa versão pois os desenvolvedores adicionaram a funcionalidade de importar/exportar configurações no qual há a brecha.

Quer algo dinâmico? ouça o conteúdo na íntegra.

Devo me preocupar?

Se você usa esse plugin, certamente deve tomar cuidados. A invasão através da vulnerabilidade é um tanto fácil de ser efetuada e um atacante demoraria cerca de 2 à 5 minutos para concluir o ataque.

A parte boa é que os desenvolvedores do plugin já corrigiram a vulnerabilidade na versão mais recente do plugin. Isso inclusive pode ser conferido no repositório oficial do plugin, onde diz:

1.3.9.1: Fixed potential vulnerability in import\export settings.

Qual é o principal risco ao site?

Dentre os riscos existentes, o pior deles é a capacidade de o atacante criar novos usuários administradores. Então verifique a lista de usuários do seu site e remova os usuários que você desconhece.

Além disso, o ataque altera a função padrão para novos usuários. Ele muda a configuração para que a partir de então todo novo usuário do site já tenha privilégios de administrador.

Isso pode ser facilmente contornado através do menu ConfiguraçãoGeral do painel de administração do WordPress. Defina a função do novo usuário como Assinante ou então na função da qual novos usuários devem ter em seu site.
função padrão de novos usuários no WordPress

Como solucionar a vulnerabilidade?

Como visto, a dificuldade já foi corrigida pelos desenvolvedores na versão 1.3.9.1. A funcionalidade de importar/exportar configurações continua existindo, porém agora sem a vulnerabilidade. Portanto, tudo que você precisa fazer para estar seguro é atualizar o plugin para a versão mais recente, além é realizar as verificações de usuários e suas funções.

Você também pode optar por usar outro plugin de SMTP, mas te traria mais trabalho reconfigurar toda a autenticação para envio de e-mails. A verdade é que você pode tranquilo caso esteja utilizando a versão mais recente do plugin.

Se você está em um de nossos planos de hospedagem WordPress, existe a possibilidade de você definir que a KingHost faça todas as atualizações de plugins em seu site, assim você não precisa manualmente atualizar todos eles toda a vez que surgiu uma atualização.

Além de corrigir vulnerabilidades, a atualização de plugins é importante para manter e receber novas funcionalidades dos plugins utilizados por você. Garante sempre a segurança do seu site.

O que você achou deste conteúdo?

O que você achou deste conteúdo?

André

André Brasil

Entusiasta WordPress, responsável pela Central de Ajuda da KingHost. Quanto mais simples for o acesso do usuários aos contatos da empresa, mais corretas estas informações estarão. Portanto, sempre deixe uma página disponível com fácil acesso, onde haja telefones, e-mails, perfis de redes sociais.

André

André Brasil

Entusiasta WordPress, responsável pela Central de Ajuda da KingHost. Quanto mais simples for o acesso do usuários aos contatos da empresa, mais corretas estas informações estarão. Portanto, sempre deixe uma página disponível com fácil acesso, onde haja telefones, e-mails, perfis de redes sociais.

Compartilhe esse conteúdo com alguém que possa gostar também

Conteúdos relacionados

As ameaças virtuais estão mudando constantemente e se tornando cada dia mais sofisticadas. Por isso, para quem tem um negócio online, a segurança é um ponto que merece grande atenção. De acordo com o Relatório do Sitelock que analisou 14 milhões de sites em 2022, sites recebem cerca de 5.5 vezes mais tráfego de bots...

📅 Aulão GRATUITO 🚀 Como VENDER MAIS na internet 💰

Mensagens para você