{"id":20176,"date":"2019-03-21T09:25:16","date_gmt":"2019-03-21T12:25:16","guid":{"rendered":"https:\/\/king.host\/blog\/?p=20176"},"modified":"2025-09-22T22:55:17","modified_gmt":"2025-09-23T01:55:17","slug":"vulnerabilidade-easy-wp-smtp","status":"publish","type":"post","link":"https:\/\/king.host\/blog\/tecnologia\/vulnerabilidade-easy-wp-smtp\/","title":{"rendered":"Vulnerabilidade no plugin Easy WP SMTP"},"content":{"rendered":"<p>O plugin ?<a href=\"https:\/\/br.wordpress.org\/plugins\/easy-wp-smtp\/\" target=\"_blank\" rel=\"noopener noreferrer\">Easy WP SMTP?<\/a> possui uma brecha de seguran\u00e7a em uma de suas vers\u00f5es mais recentes que pode comprometer seriamente a seguran\u00e7a e funcionamento do seu site WordPress.<\/p>\n<p>Para ser mais preciso, a brecha est\u00e1 na <strong>vers\u00e3o 1.3.9<\/strong> do plugin. Nessa falha de seguran\u00e7a o atacante consegue ter acesso ao banco de dados utilizado pelo WordPress e pode ent\u00e3o alterar registros da base.<\/p>\n<p>O acesso \u00e0 base por parte do atacante pode comprometer todo o site, pois a partir disso ele pode assumir ser um usu\u00e1rio administrator e assim conseguir fazer qualquer modifica\u00e7\u00e3o no site. Al\u00e9m disso, ele pode facilmente apagar registros e acabar quebrando toda a aplica\u00e7\u00e3o.<\/p>\n<p>Na maioria das vezes, o atacante acaba colocando scripts de redirecionamento para sites maliciosos. Isto \u00e9, ao acessar seu site voc\u00ea acaba caindo em outro sem rela\u00e7\u00e3o alguma com o seu.<\/p>\n<p>O site do <a href=\"https:\/\/www.wordfence.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">WordFence<\/a> (um plugin de seguran\u00e7a para WordPress) <a href=\"https:\/\/www.wordfence.com\/blog\/2019\/03\/hackers-abusing-recently-patched-vulnerability-in-easy-wp-smtp-plugin\/\" target=\"_blank\" rel=\"noopener noreferrer\">publicou um artigo<\/a> sobre essa vulnerabilidade. Como explicado no post, essa vulnerabilidade surgiu justamente nessa vers\u00e3o pois os desenvolvedores adicionaram a funcionalidade de importar\/exportar configura\u00e7\u00f5es no qual h\u00e1 a brecha.<\/p>\n<h2>Devo me preocupar?<\/h2>\n<p>Se voc\u00ea usa esse plugin, certamente deve tomar cuidados. A invas\u00e3o atrav\u00e9s da vulnerabilidade \u00e9 um tanto f\u00e1cil de ser efetuada e um atacante demoraria cerca de 2 \u00e0 5 minutos para concluir o ataque.<\/p>\n<p>A parte boa \u00e9 que <u>os desenvolvedores do plugin j\u00e1 corrigiram a vulnerabilidade na vers\u00e3o mais recente do plugin<\/u>. Isso inclusive pode ser conferido no <a href=\"https:\/\/br.wordpress.org\/plugins\/easy-wp-smtp\/#developers\" target=\"_blank\" rel=\"noopener noreferrer\">reposit\u00f3rio oficial<\/a> do plugin, onde diz:<\/p>\n<blockquote><p>1.3.9.1: Fixed potential vulnerability in import\\export settings.<\/p><\/blockquote>\n<h2>Qual \u00e9 o principal risco ao site?<\/h2>\n<p>Dentre os riscos existentes, o pior deles \u00e9 a capacidade de o atacante criar novos usu\u00e1rios administradores. Ent\u00e3o verifique a lista de usu\u00e1rios do seu site e remova os usu\u00e1rios que voc\u00ea desconhece.<\/p>\n<p>Al\u00e9m disso, o ataque altera a fun\u00e7\u00e3o padr\u00e3o para novos usu\u00e1rios. Ele muda a configura\u00e7\u00e3o para que a partir de ent\u00e3o todo novo usu\u00e1rio do site j\u00e1 tenha privil\u00e9gios de administrador.<\/p>\n<p>Isso pode ser facilmente contornado atrav\u00e9s do menu <strong>Configura\u00e7\u00e3o<\/strong> &#8211; <strong>Geral<\/strong> do painel de administra\u00e7\u00e3o do WordPress. Defina a fun\u00e7\u00e3o do novo usu\u00e1rio como <strong>Assinante<\/strong> ou ent\u00e3o na fun\u00e7\u00e3o da qual novos usu\u00e1rios devem ter em seu site.<br \/>\n<img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter wp-image-20183 size-full\" src=\"https:\/\/cdn-cms.king.host\/blog-hlg\/uploads\/2019\/03\/funcao-usuario-wordpress.png\" alt=\"fun\u00e7\u00e3o padr\u00e3o de novos usu\u00e1rios no WordPress\" width=\"873\" height=\"312\" title=\"\" srcset=\"https:\/\/cdn-cms.king.host\/blog-hlg\/uploads\/2019\/03\/funcao-usuario-wordpress.png 873w, https:\/\/cdn-cms.king.host\/blog-hlg\/uploads\/2019\/03\/funcao-usuario-wordpress-300x107.png 300w, https:\/\/cdn-cms.king.host\/blog-hlg\/uploads\/2019\/03\/funcao-usuario-wordpress-768x274.png 768w, https:\/\/cdn-cms.king.host\/blog-hlg\/uploads\/2019\/03\/funcao-usuario-wordpress-780x279.png 780w, https:\/\/cdn-cms.king.host\/blog-hlg\/uploads\/2019\/03\/funcao-usuario-wordpress-400x143.png 400w\" sizes=\"(max-width: 873px) 100vw, 873px\" \/><\/p>\n<h2>Como solucionar a vulnerabilidade?<\/h2>\n<p>Como visto, a dificuldade j\u00e1 foi corrigida pelos desenvolvedores na vers\u00e3o 1.3.9.1. A funcionalidade de importar\/exportar configura\u00e7\u00f5es continua existindo, por\u00e9m agora sem a vulnerabilidade. Portanto, <strong>tudo que voc\u00ea precisa fazer para estar seguro \u00e9 atualizar o plugin para a vers\u00e3o mais recente<\/strong>, al\u00e9m \u00e9 realizar as verifica\u00e7\u00f5es de usu\u00e1rios e suas fun\u00e7\u00f5es.<\/p>\n<p>Voc\u00ea tamb\u00e9m pode optar por usar outro plugin de SMTP, mas te traria mais trabalho reconfigurar toda a autentica\u00e7\u00e3o para envio de e-mails. A verdade \u00e9 que voc\u00ea pode tranquilo caso esteja utilizando a vers\u00e3o mais recente do plugin.<\/p>\n<p>Se voc\u00ea est\u00e1 em um de nossos <a href=\"https:\/\/king.host\/hospedagem-wordpress\" target=\"_blank\" rel=\"noopener noreferrer\">planos de hospedagem WordPress<\/a>, existe a possibilidade de voc\u00ea definir que a KingHost fa\u00e7a todas as atualiza\u00e7\u00f5es de plugins em seu site, assim voc\u00ea n\u00e3o precisa manualmente atualizar todos eles toda a vez que surgiu uma atualiza\u00e7\u00e3o.<\/p>\n<p>Al\u00e9m de corrigir vulnerabilidades, a atualiza\u00e7\u00e3o de plugins \u00e9 importante para manter e receber novas funcionalidades dos plugins utilizados por voc\u00ea. <strong>Garante sempre a seguran\u00e7a do seu site<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>O plugin ?Easy WP SMTP? possui uma brecha de seguran\u00e7a em uma de suas vers\u00f5es mais recentes que pode comprometer seriamente a seguran\u00e7a e funcionamento do seu site WordPress. Para ser mais preciso, a brecha est\u00e1 na vers\u00e3o 1.3.9 do plugin. Nessa falha de seguran\u00e7a o atacante consegue ter acesso ao banco de dados utilizado [&hellip;]<\/p>\n","protected":false},"author":318,"featured_media":19342,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1179,8],"tags":[1359],"class_list":["post-20176","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-desenvolvimento","category-tecnologia","tag-seguranca-digital"],"_links":{"self":[{"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/posts\/20176","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/users\/318"}],"replies":[{"embeddable":true,"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/comments?post=20176"}],"version-history":[{"count":10,"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/posts\/20176\/revisions"}],"predecessor-version":[{"id":42305,"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/posts\/20176\/revisions\/42305"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/media\/19342"}],"wp:attachment":[{"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/media?parent=20176"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/categories?post=20176"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/king.host\/blog\/wp-json\/wp\/v2\/tags?post=20176"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}