Os comerciantes em linha usando o WordPress como plataforma pode se tornar vítimas de uma nova falha de execução remota de código. Um novo relatório de segurança revela que o bug pode interagir com o plug-in WooCommerce, as a result the criminals can overtake the shops.
WooCommerce Sites Can Be Hijacked By The WordPress Bug: The Hackers Will Take Control
The WordPress content management system as a popular tool for setting up websites of all types, including web shops. It has now turned out that a team of security researchers discovered a critical flaw in it. According to the released information the e-commerce plugin is affected by a file deletion bug which allows hackers to take over control of the sites. This is done by escalating their privileges and eventually executing the necessary code on the hacked sites.
The quoted reason is the “roles” system which is used to assign the privilege access levels to the visitors of the shop. Ao excluir um determinado arquivo via o principal erro WordPress os hackers serão capazes de ultrapassar o controle das lojas. O acesso ao arquivo de configuração pode ser feito através de várias das estratégias de intrusão populares:
- Cross-Site Scripting (XSS) ataques - Eles procuram manipular os navegadores chamando scripts e comandos perigosas que podem levar à execução do código necessário. Eles são muitas vezes localizados em sites falsos ou comunidades. Em muitos casos th hackers podem mascarar-los como tutoriais ou guias úteis.
- Sites de phishing - Os criminosos também pode construir falsas páginas de destino que se apresentam como domínios oficiais de WordPress ou o plugin WooCommerce. Eles podem usar nomes de domínio som semelhantes ou certificados de segurança, a fim de coagir os visitantes a interagir com eles.
- infecções por vírus — Malware infections like Trojans can manipulate the system into executing the dangerous behavior.
We remind our readers that WordPress sites are constantly being targeted by various attacks, a recent example is the [wplinkpreview url =”https://sensorstechforum.com/wordpress-site-owners-targeted-global-phishing-scam/”]September global phishing scam. A patch fixing the arbitrary file deletion vulnerability was released to WordPress site owners in October. We recommend that all users apply all the latest updates to secure their online shops. For more information on the matter read the divulgação pública.