🎯Raio-X do Marketing Digital: Tendências e desafios 🚀

Vulnerabilidade no plugin Easy WP SMTP

Publicado em 21/03/2019

Atualizado em 03/06/2024

O plugin ?Easy WP SMTP? possui uma brecha de segurança em uma de suas versões mais recentes que pode comprometer seriamente a segurança e funcionamento do seu site WordPress.

Para ser mais preciso, a brecha está na versão 1.3.9 do plugin. Nessa falha de segurança o atacante consegue ter acesso ao banco de dados utilizado pelo WordPress e pode então alterar registros da base.

O acesso à base por parte do atacante pode comprometer todo o site, pois a partir disso ele pode assumir ser um usuário administrator e assim conseguir fazer qualquer modificação no site. Além disso, ele pode facilmente apagar registros e acabar quebrando toda a aplicação.

Na maioria das vezes, o atacante acaba colocando scripts de redirecionamento para sites maliciosos. Isto é, ao acessar seu site você acaba caindo em outro sem relação alguma com o seu.

O site do WordFence (um plugin de segurança para WordPress) publicou um artigo sobre essa vulnerabilidade. Como explicado no post, essa vulnerabilidade surgiu justamente nessa versão pois os desenvolvedores adicionaram a funcionalidade de importar/exportar configurações no qual há a brecha.

Quer algo dinâmico? ouça o conteúdo na íntegra.

Devo me preocupar?

Se você usa esse plugin, certamente deve tomar cuidados. A invasão através da vulnerabilidade é um tanto fácil de ser efetuada e um atacante demoraria cerca de 2 à 5 minutos para concluir o ataque.

A parte boa é que os desenvolvedores do plugin já corrigiram a vulnerabilidade na versão mais recente do plugin. Isso inclusive pode ser conferido no repositório oficial do plugin, onde diz:

1.3.9.1: Fixed potential vulnerability in import\export settings.

Qual é o principal risco ao site?

Dentre os riscos existentes, o pior deles é a capacidade de o atacante criar novos usuários administradores. Então verifique a lista de usuários do seu site e remova os usuários que você desconhece.

Além disso, o ataque altera a função padrão para novos usuários. Ele muda a configuração para que a partir de então todo novo usuário do site já tenha privilégios de administrador.

Isso pode ser facilmente contornado através do menu ConfiguraçãoGeral do painel de administração do WordPress. Defina a função do novo usuário como Assinante ou então na função da qual novos usuários devem ter em seu site.
função padrão de novos usuários no WordPress

Como solucionar a vulnerabilidade?

Como visto, a dificuldade já foi corrigida pelos desenvolvedores na versão 1.3.9.1. A funcionalidade de importar/exportar configurações continua existindo, porém agora sem a vulnerabilidade. Portanto, tudo que você precisa fazer para estar seguro é atualizar o plugin para a versão mais recente, além é realizar as verificações de usuários e suas funções.

Você também pode optar por usar outro plugin de SMTP, mas te traria mais trabalho reconfigurar toda a autenticação para envio de e-mails. A verdade é que você pode tranquilo caso esteja utilizando a versão mais recente do plugin.

Se você está em um de nossos planos de hospedagem WordPress, existe a possibilidade de você definir que a KingHost faça todas as atualizações de plugins em seu site, assim você não precisa manualmente atualizar todos eles toda a vez que surgiu uma atualização.

Além de corrigir vulnerabilidades, a atualização de plugins é importante para manter e receber novas funcionalidades dos plugins utilizados por você. Garante sempre a segurança do seu site.

O que você achou deste conteúdo?

O que você achou deste conteúdo?

André
André Brasil
Entusiasta WordPress, responsável pela Central de Ajuda da KingHost. Quanto mais simples for o acesso do usuários aos contatos da empresa, mais corretas estas informações estarão. Portanto, sempre deixe uma página disponível com fácil acesso, onde haja telefones, e-mails, perfis de redes sociais.
André
André Brasil
Entusiasta WordPress, responsável pela Central de Ajuda da KingHost. Quanto mais simples for o acesso do usuários aos contatos da empresa, mais corretas estas informações estarão. Portanto, sempre deixe uma página disponível com fácil acesso, onde haja telefones, e-mails, perfis de redes sociais.

Compartilhe esse conteúdo com alguém que possa gostar também

Receba todo mês conteúdos
incríveis como esses para
seguir evoluindo

Conteúdos relacionados

Quais são as principais tendências de marketing e tecnologia para 2025? A resposta vai te dar uma série de insights e direcionar estratégias para que sua marca se destaque este ano. Temas como inteligência artificial, biotecnologia e cibersegurança, estão entre os destaques desta seleção e podem mudar a maneira significativa a forma como vivemos e...
Ataque DDoS é uma das ameaças mais temidas por quem tem um site na internet. Imagine anos de investimento para construir a credibilidade de uma presença digital, para ver seu site sendo afetado por um ataque desse tipo.  Para se ter uma ideia, o Brasil pelo 10º ano consecutivo, é o líder do ranking de...

Mensagens para você