Sabe quando você visita um blog e ao final ele indica sugestões de outras leituras de posts relacionados?
Por trás dessa mágica existe um plugin muito utilizado para incentivar que os visitantes de uma determinada página leia outras postagens de conteúdos relacionados, incentivando que o visitante se torne um leitor fiel do seu conteúdo.
Essa facilidade de integração de ferramentas muito práticas, pode por vezes comprometer seu ambiente, como foi o caso de uma falha no plugin de WordPress Yuzo Related Posts – que executa exatamente a função mencionada anteriormente de posts relacionados. Toda essa treta foi descoberta há poucos dias, no final de março (2019).
Leia também: Como manter seu site WordPress seguro?
Estima-se que o plugin esteja em pelo menos 60 mil sites na Internet! Então, vale à pena você dar uma conferida.
Sobre a vulnerabilidade do plugin de posts relacionados
- O alerta para correção de tal falha deve-se ao fato da vulnerabilidade abrir espaço para ataques de inserção de script por usuários não autorizados no seu site (também conhecido por XSS – cross scripiting);
- Permite que seja forçado um redirecionamento para sites maliciosos;
- Até o momento deste post, não existiam atualizações para o plugin com este patch.
Como resolver esse problema?
Opção 1:
Recomendo que você instale o plugin (WAF) de segurança WordFence (usuário que utilizavam este não foram afetados).
Opção 2:
Substituir ele por outro de mesma função.
Dica do Bruno: Se você foi infectado e é um usuário avançado, você pode criar o arquivo neste link em PHP feito pela Wordfence para realizar a limpeza do redirecionamento malicioso.
Ele irá limpar valores na tabela de opções do plugin que contém o script de redirecionamento.
Leia também:
- Como usar WordPress: boas práticas na criação de sites
- Plugins gratuitos para WordPress
- WordPress lento? Veja 7 motivos e saiba como evitá-los
Fique ligado no LAB, o Blog da KingHost para mais novidades.
