Há uma vulnerabilidade no WordPress em versão 4.9.6 ou inferiores que utiliza de uma brecha de segurança do gerenciamento de mídia e que, se explorado, permite ao invasor apagar arquivos importantes da sua instalação, dentre eles o wp-config.php.
Sem esse arquivo, um novo acesso ao seu site faz com que o instalador seja executado novamente. A partir disso, o atacante se aproveita da situação e cria para si um usuário de nível administrador dentro do seu site. Portanto, além de conseguir apagar arquivos, também consegue se infiltrar em seu site tendo para si um usuário com capacidades administrativas.
Essa é uma falha de segurança do core do WordPress, isto é, qualquer site na versão 4.9.6 do WordPress ou em versões anteriores a esta estão expostos à vulnerabilidade. O time de desenvolvimento da Automattic (empresa que desenvolve a plataforma) foi notificado e trabalhou em uma correção que é enviada aos sites que atualizam para a versão 4.9.7 do WordPress.
“WordPress versions 4.9.6 and earlier are affected by a media issue that could potentially allow a user with certain capabilities to attempt to delete files outside the uploads directory.
Thank you to Slavco for reporting the original issue and Matt Barry for reporting related issues.”
https://wordpress.org/news/2018/07/wordpress-4-9-7-security-and-maintenance-release/
O que realmente acontece nessa vulnerabilidade no WordPress?
Na maioria das vezes é realizada a exclusão do arquivo wp-config.php, fazendo com que rode a rotina de instalação novamente. Assim, acaba criando um novo usuário (do atacante) com role (nível de acesso) administrator. Para poder usufruir da vulnerabilidade, o atacante precisa previamente obter privilégios para manipulação de arquivos de mídia.
A exploração da brecha concede ao atacante a possibilidade de apagar qualquer arquivo do WordPress. Além disso, o invasor pode usar exclusão arbitrária para contornar medidas de segurança.
Principais arquivos afetados
➡ wp-config.php: sem ele, a instalação é reexecutada. Assim, o atacante pode forjar o passo de credenciais de usuário admin, colocando dados próprios.
➡ index.php: dentro de plugins e principalmente temas, é colocado para evitar listagem de diretórios, sem ele, diretórios e arquivos ficarão expostos.
➡ .htaccess: esse arquivo pode conter medidas de segurança, que logicamente são perdidas com sua exclusão. Além disso, a regravação de urls do seu site não funcionarão.
Como se proteger dessa vulnerabilidade no WordPress?
1. Atualize seu site para a versão mais recente do WordPress
Além de trazer novas funcionalidades, as atualizações principalmente corrigem bugs e eliminam brechas de segurança.
Manter-se sempre na versão mais recente da plataforma é crucial para aumentar a segurança do seu site.
Preparamos um conteúdo bem bacana na nossa Central de Ajuda que trata disso! Acesse Segurança WordPress: manter o site sempre atualizado.
Acesse: Central de Ajuda KingHost – Segurança WordPress
2. Fechar brecha no código
Essa alternativa é válida somente se você permanecer na versão 4.9.6 do WordPress.
Se já atualizou o site para a versão mais recente, esse procedimento não precisa ser executado.
Esse método demanda conhecimento em manipulação de arquivos e programação. Você precisará inserir o código abaixo dentro do arquivo functions.php do seu template em uso. Ela é responsável por fechar a falha de segurança causada pelo arquivo /wp-includes/post.php.
add_filter( 'wp_update_attachment_metadata', 'media_fix_wp' );
function media_fix_wp( $data ) {
if( isset($data['thumb']) ) {
$data['thumb'] = basename($data['thumb']);
}
return $data;
}
3. Utilizar os planos de hospedagem WordPress da King
Em nossos planos de hospedagem a sites WordPress você tem a opção de manter todas as atualizações de segurança do core e até mesmo de plugins e temas (não pagos / premium) de maneira automática. Isto é, a KingHost fica responsável por executar as atualizações de segurança em seu site.
Links úteis
Link da National Vulnerability Database
Post do Rips Tech sobre a vulnerabilidade
