Na semana passada, a maior parte de dois milhões de sites WordPress recebeu uma atualização automática de segurança forçada por causa de uma falha grave em um plug-in usado para fazer backup de dados.
A vulnerabilidade pode permitir que usuários não autorizados baixem backups de sites WP.
O problema e a atualização automática forçada
Na quinta-feira passada, uma atualização de segurança para o plugin UpdraftPlus para sites WordPress foi lançada para resolver uma vulnerabilidade crítica. Os desenvolvedores pensaram que a falha era urgente o suficiente para justificar uma atualização forçada.
O UpdraftPlus é usado para simplificar o download e a restauração de backups de sites WordPress. Os desenvolvedores da JetPack, durante uma auditoria interna do UpdraftPlus, encontraram uma vulnerabilidade em uma verificação de permissões ausentes que poderia permitir o acesso de usuários não autorizados a esses backups.
Normalmente, apenas os administradores devem ter acesso a eles. De acordo com os gráficos do UpdraftPlus, cerca de 1,7 milhão de sites baixaram a atualização na quinta-feira.
Tanto o JetPack quanto o UpdraftPlus publicaram avisos sobre a falha. Os sites que criptografam seus backups correm menos riscos, e os desenvolvedores do UpdraftPlus observam que o WordPress faz hash de suas senhas armazenadas, o que deve protegê-los de hackers que obtêm backups não criptografados. JetPack diz que a maioria dos sites WordPress foram atualizados e insta aqueles que não instalaram o patch UpdraftPlus mais recente.
As explorações de plugins do WordPress estão se tornando um problema cada vez mais grave.
Um relatório de um grupo de segurança no mês passado disse que mais vulnerabilidades foram relatadas em 2021 do que em 2020 e que três quartos das falhas de plugins tinham explorações conhecidas.