📆 23/07 - 19H | LIVE: Deploy descomplicado de aplicações em VPS 💻

Vulnerabilidade no plugin Easy WP SMTP

Publicado em 21/03/2019

Atualizado em 03/06/2024

O plugin ?Easy WP SMTP? possui uma brecha de segurança em uma de suas versões mais recentes que pode comprometer seriamente a segurança e funcionamento do seu site WordPress.

Para ser mais preciso, a brecha está na versão 1.3.9 do plugin. Nessa falha de segurança o atacante consegue ter acesso ao banco de dados utilizado pelo WordPress e pode então alterar registros da base.

O acesso à base por parte do atacante pode comprometer todo o site, pois a partir disso ele pode assumir ser um usuário administrator e assim conseguir fazer qualquer modificação no site. Além disso, ele pode facilmente apagar registros e acabar quebrando toda a aplicação.

Na maioria das vezes, o atacante acaba colocando scripts de redirecionamento para sites maliciosos. Isto é, ao acessar seu site você acaba caindo em outro sem relação alguma com o seu.

O site do WordFence (um plugin de segurança para WordPress) publicou um artigo sobre essa vulnerabilidade. Como explicado no post, essa vulnerabilidade surgiu justamente nessa versão pois os desenvolvedores adicionaram a funcionalidade de importar/exportar configurações no qual há a brecha.

Quer algo dinâmico? ouça o conteúdo na íntegra.

Devo me preocupar?

Se você usa esse plugin, certamente deve tomar cuidados. A invasão através da vulnerabilidade é um tanto fácil de ser efetuada e um atacante demoraria cerca de 2 à 5 minutos para concluir o ataque.

A parte boa é que os desenvolvedores do plugin já corrigiram a vulnerabilidade na versão mais recente do plugin. Isso inclusive pode ser conferido no repositório oficial do plugin, onde diz:

1.3.9.1: Fixed potential vulnerability in import\export settings.

Qual é o principal risco ao site?

Dentre os riscos existentes, o pior deles é a capacidade de o atacante criar novos usuários administradores. Então verifique a lista de usuários do seu site e remova os usuários que você desconhece.

Além disso, o ataque altera a função padrão para novos usuários. Ele muda a configuração para que a partir de então todo novo usuário do site já tenha privilégios de administrador.

Isso pode ser facilmente contornado através do menu ConfiguraçãoGeral do painel de administração do WordPress. Defina a função do novo usuário como Assinante ou então na função da qual novos usuários devem ter em seu site.
função padrão de novos usuários no WordPress

Como solucionar a vulnerabilidade?

Como visto, a dificuldade já foi corrigida pelos desenvolvedores na versão 1.3.9.1. A funcionalidade de importar/exportar configurações continua existindo, porém agora sem a vulnerabilidade. Portanto, tudo que você precisa fazer para estar seguro é atualizar o plugin para a versão mais recente, além é realizar as verificações de usuários e suas funções.

Você também pode optar por usar outro plugin de SMTP, mas te traria mais trabalho reconfigurar toda a autenticação para envio de e-mails. A verdade é que você pode tranquilo caso esteja utilizando a versão mais recente do plugin.

Se você está em um de nossos planos de hospedagem WordPress, existe a possibilidade de você definir que a KingHost faça todas as atualizações de plugins em seu site, assim você não precisa manualmente atualizar todos eles toda a vez que surgiu uma atualização.

Além de corrigir vulnerabilidades, a atualização de plugins é importante para manter e receber novas funcionalidades dos plugins utilizados por você. Garante sempre a segurança do seu site.

O que você achou deste conteúdo?

O que você achou deste conteúdo?

André
André Brasil
Entusiasta WordPress, responsável pela Central de Ajuda da KingHost. Quanto mais simples for o acesso do usuários aos contatos da empresa, mais corretas estas informações estarão. Portanto, sempre deixe uma página disponível com fácil acesso, onde haja telefones, e-mails, perfis de redes sociais.
André
André Brasil
Entusiasta WordPress, responsável pela Central de Ajuda da KingHost. Quanto mais simples for o acesso do usuários aos contatos da empresa, mais corretas estas informações estarão. Portanto, sempre deixe uma página disponível com fácil acesso, onde haja telefones, e-mails, perfis de redes sociais.

Compartilhe esse conteúdo com alguém que possa gostar também

Receba todo mês conteúdos
incríveis como esses para
seguir evoluindo

Conteúdos relacionados

No cenário digital, um site bem desenvolvido é mais do que apenas uma vitrine online, é a espinha dorsal da presença digital de qualquer negócio.  Por isso, para pessoas desenvolvedoras ou profissionais de tecnologia, dominar a arte de como desenvolver sites é essencial para construir experiências online excepcionais. Este guia completo da KingHost oferece um...
O Git se estabeleceu como uma ferramenta indispensável para pessoas desenvolvedoras que desejam gerenciar e versionar seus códigos com agilidade e segurança.  Desde o seu surgimento, ele transformou a forma como trabalhamos de maneira colaborativa em projetos de software – seja em pequenos times ou em grandes empresas.  Neste artigo, vamos explorar os principais comandos...
JavaScript é uma das linguagens de programação mais populares do mundo, amplamente utilizada para o desenvolvimento de aplicações web dinâmicas. Assim, para facilitar o trabalho nesta área, diversas bibliotecas JavaScript foram criadas.  Neste artigo, vamos explorar o que são bibliotecas JavaScript, como utilizá-las e quais são as principais opções disponíveis no mercado. Você vai ter...

Mensagens para você