Os comerciantes em linha usando o WordPress como plataforma pode se tornar vítimas de uma nova falha de execução remota de código. Um novo relatório de segurança revela que o bug pode interagir com o plug-in WooCommerce, como resultado, os criminosos podem ultrapassar as lojas.
Sites WooCommerce podem ser sequestrados pelo bug do WordPress: Os hackers assumirão o controle
O sistema de gerenciamento de conteúdo WordPress como uma ferramenta popular para a criação de sites de todos os tipos, incluindo lojas da web. Agora descobriu-se que uma equipe de pesquisadores de segurança descobriu uma falha crítica nele. De acordo com as informações divulgadas, o plugin de e-commerce é afetado por um bug de exclusão de arquivo que permite que hackers assumam o controle dos sites. Isso é feito escalando seus privilégios e, eventualmente, executando o código necessário nos sites hackeados.
O motivo citado é o “papéis” sistema que é usado para atribuir os níveis de acesso privilegiado aos visitantes da loja. Ao excluir um determinado arquivo via o principal erro WordPress os hackers serão capazes de ultrapassar o controle das lojas. O acesso ao arquivo de configuração pode ser feito através de várias das estratégias de intrusão populares:
- Cross-Site Scripting (XSS) ataques - Eles procuram manipular os navegadores chamando scripts e comandos perigosas que podem levar à execução do código necessário. Eles são muitas vezes localizados em sites falsos ou comunidades. Em muitos casos th hackers podem mascarar-los como tutoriais ou guias úteis.
- Sites de phishing - Os criminosos também pode construir falsas páginas de destino que se apresentam como domínios oficiais de WordPress ou o plugin WooCommerce. Eles podem usar nomes de domínio som semelhantes ou certificados de segurança, a fim de coagir os visitantes a interagir com eles.
- infecções por vírus - Infecções de malware como cavalos de Tróia podem manipular o sistema para executar o comportamento perigoso.
Lembramos aos nossos leitores que os sites WordPress são constantemente alvo de vários ataques, um exemplo recente é o [wplinkpreview url =”https://sensorstechforum.com/wordpress-site-owners-targeted-global-phishing-scam/”]Golpe global de phishing de setembro. Um patch corrigindo a vulnerabilidade de exclusão arbitrária de arquivos foi lançado para proprietários de sites WordPress em outubro. Recomendamos que todos os usuários apliquem todas as atualizações mais recentes para proteger suas lojas online. Para mais informações sobre o assunto, leia o divulgação pública.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: