No dia 20 de julho de 2023, foi divulgada uma vulnerabilidade de segurança no plugin WP Rocket, um dos plugins de cache mais populares do WordPress.
A falha de segurança, classificada como Local File Inclusion (LFI), permite que um invasor obtenha acesso a arquivos confidenciais do site, como o arquivo de configurações do WordPress, o banco de dados ou até mesmo os arquivos de mídia.
O que é uma vulnerabilidade LFI?
Uma vulnerabilidade LFI ocorre quando um aplicativo web não verifica adequadamente os dados de entrada do usuário, o que pode permitir que um invasor inclua um arquivo malicioso no contexto do aplicativo.
Esse tipo de brecha pode levar à execução de código arbitrário ou ao roubo de informações confidenciais, uma vez que usuários mal intencionados podem adicionar qualquer tipo de código malicioso ao site.
Como a vulnerabilidade do WP Rocket funcionava?
A brecha de segurança do WP Rocket ocorre na função get_file_url(), que é usada para obter o URL de um arquivo. A função não verifica adequadamente os dados de entrada do usuário, o que pode permitir que um invasor inclua um caminho de arquivo malicioso.
Por exemplo, um invasor pode enviar a seguinte solicitação HTTP ao plugin:
/wp-admin/admin-ajax.php?action=rocket_cdn_purge&files[]=../../../../../wp-config.phpEssa solicitação instrui o plugin a purgar o cache do arquivo wp-config.php, que contém informações confidenciais, como as credenciais de acesso ao banco de dados.
Dessa forma, o site ficaria indisponível até que o arquivo fosse recriado corretamente.
Quais são as consequências da vulnerabilidade?
Um invasor que explora a falha pode obter acesso a arquivos confidenciais do site, como:
- O arquivo de configurações do WordPress;
- O banco de dados, que contém todas as informações do site, como artigos, páginas, usuários e comentários;
- Os arquivos de mídia, que contêm imagens, vídeos e outros arquivos;
O invasor pode usar essas informações para:
- Modificar o conteúdo do site ou as configurações de segurança;
- Roubar informações confidenciais, como dados de usuários ou informações financeiras;
- Infiltrar o site com malware ou ransomware.
Como corrigir a vulnerabilidade?
O problema foi corrigido na versão 3.14.3, lançada em 22 de julho de 2023. Portanto, os usuários devem atualizar o plugin para a versão mais recente o mais rápido possível.
Se você não puder atualizar o plugin imediatamente, pode seguir as seguintes recomendações para mitigar o risco:
- Remova a permissão de escrita para todos os arquivos e pastas do site, exceto para os arquivos e pastas que você precisa editar.
- Habilite a verificação de credenciais de arquivo do WordPress.
- Use um firewall de aplicação web para bloquear solicitações HTTP maliciosas.
Como se proteger de vulnerabilidades de segurança?
A melhor maneira de se proteger de vulnerabilidades de segurança desse tipo é manter seus aplicativos e plugins atualizados, uma vez que os desenvolvedores de software lançam atualizações de segurança regularmente para corrigir falhas de segurança já conhecidas.
Além disso, você deve implementar medidas de segurança básicas, como:
- Use uma senha forte e única para todos os seus sites.
- Habilite a verificação de dois fatores para todas as suas contas online.
- Faça backups regulares do seu site.
Para dicas de segurança mais abrangentes, recomendamos dar uma olhada neste outro artigo: 10 dicas de segurança para sites WordPress.
Conclusão
A vulnerabilidade do WP Rocket é um lembrete importante da importância de manter seus aplicativos e plugins atualizados. A identificação da falha LFI e suas potenciais ramificações ressaltam a necessidade urgente de atualizações imediatas por parte dos usuários do plugin.
Por isso, se você usa o plugin, atualize-o assim que possível para a versão mais recente o mais rápido possível! Em um cenário digital em constante evolução, ações proativas, como manter práticas sólidas de segurança e adotar atualizações regulares, são fundamentais para preservar a integridade dos sites.
