Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Marcio Rubens

Vulnerabilidade no WordPress pode tirar seu site do ar

Por , em Desenvolvimento com Wordpress

Recommended Posts

Marcio Rubens    3

Marcio Rubens
Postado

No dia 5 de fevereiro de 2018, um pesquisador israelense, Barak Tawily, descobriu uma falha de segurança no WordPress. Essa vulnerabilidade é do tipo Denial of Service, ou negação de serviço. Um ataque do tipo Denial of Service, ou Negação de Serviço (DoS) consiste em causar lentidão ou indisponibilidade em um site na Internet.

 

Como a empresa negou corrigir o problema, a vulnerabilidade (CVE-2018-6389) permanece sem precedentes e afeta quase todas as versões do WordPress lançadas nos últimos nove anos, incluindo a versão mais recente do WordPress (Versão 4.9.2)

 

Para aqueles que não sabem, o arquivo load-scripts.php foi projetado para que os usuários de administração ajudem um site a melhorar o desempenho e carregar a página mais rapidamente ao combinar (no servidor) vários arquivos JavaScript em uma única solicitação.

No entanto, para fazer o "load-scripts.php" funcionar na página de login do administrador (wp-login.php) antes do login, os autores do WordPress não mantiveram qualquer autenticação no lugar, tornando o recurso acessível a qualquer pessoa.

 

wordpress-dos-attack.png.f05d74372a0c21ad1715ea3cbb4906ef.png

 

Dependendo dos plugins e módulos que você instalou, o arquivo load-scripts.php seletivamente chama arquivos JavaScript necessários passando seus nomes para o parâmetro "load", separados por uma vírgula, como no seguinte URL:

https://sua-wordpress-site.com/wp-admin/load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-gallery

 

Ao carregar o site, o "load-scripts.php" (mencionado no cabeçalho da página) tenta encontrar cada nome de arquivo JavaScript fornecido no URL, anexar seu conteúdo em um único arquivo e depois enviá-lo para a web do usuário navegador


Como solucionar?


Na empresa DialHost Internet, onde faço parte da equipe de infraestrutura, optamos pela configuração diretamente no .htaccess e no wp.config.php das contas dos clientes que possuem o Wordpress.

 

.htaccess 

<FilesMatchload-(scripts|styles).php>
Require all denied
<FilesMatch>

wp-config.php 

define('CONCATENATE_SCRIPTS', false);

Já o pesquisador liberou uma correção para ser implementada pelos usuários do WordPress, que está disponível a todos

 

Links Relacionados
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389

https://thehackernews.com/2018/02/wordpress-dos-exploit.html?m=1

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Desenvolvimento com Wordpress

  • Conteúdo Similar

    • Gdonato
      Alteracao Tema Wordpress Profolio
      Por Gdonato
      Ola pessoal, baixei um tema wordpress Profolio e alterei ja grande parte do tema, porem estou com 2 problemas, um que os icones das redes sociais nao aparecem, altero, publico e nao aparece e  nao estou achando onde alterar a parte OUR PORTFOLIO onde esta em ingles, alguem pode me ajudar onde acho para editar e alterar?
    • Gdonato
      Alteracao Tema Wordpress Profolio
      Por Gdonato
      Ola pessoal, baixei um tema wordpress Profolio e alterei ja grande parte do tema, porem estou com 2 problemas, um que os icones das redes sociais nao aparecem, altero, publico e nao aparece e  nao estou achando onde alterar a parte OUR PORTFOLIO onde esta em ingles, alguem pode me ajudar onde acho para editar e alterar?
    • Gdonato
      Alteracao Tema Wordpress Profolio
      Por Gdonato
      Ola pessoal, baixei um tema wordpress Profolio e alterei ja grande parte do tema, porem estou com 2 problemas, um que os icones das redes socias nao aparecem, altero, publico e nao aparece e  nao estou achando onde alterar a parte OUR PORTFOLIO onde esta em ingles, alguem pode me ajudar onde acho para editar e alterar?
    • douglas79
      Problemas com o banco de dados
      Por douglas79
      Boa noite,
      primeiramente eu fiz um site num servidor local (Wordpress 5.9), criei uma pasta chamada blog e fiz a transferência via FTP para essa pasta, mas não instalei o Wordpress nativo da hospedagem.. Acessei o painel de controle e criei o banco de dados e importei o BD do phpmyadmin do servidor XAMPP. Daí quando vou acessar o domínio www.guardamunparacambi.info/blog, aparece a mensagem "Erro ao conectar com o banco de dados". O que pode estar acontecendo?
      Preciso de ajuda!
    • douglas79
      Problemas com o banco de dados
      Por douglas79
      Boa noite,
      primeiramente eu fiz um site num servidor local (Wordpress 5.9), criei uma pasta chamada blog e fiz a transferência via FTP para essa pasta, mas não instalei o Wordpress nativo da hospedagem.. Acessei o painel de controle e criei o banco de dados e importei o BD do phpmyadmin do servidor XAMPP. Daí quando vou acessar o domínio www.guardamunparacambi.info/blog, aparece a mensagem "Erro ao conectar com o banco de dados". O que pode estar acontecendo?
      Preciso de ajuda!
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito