Ir para conteúdo
Marcio Rubens

Vulnerabilidade no WordPress pode tirar seu site do ar

Recommended Posts

No dia 5 de fevereiro de 2018, um pesquisador israelense, Barak Tawily, descobriu uma falha de segurança no WordPress. Essa vulnerabilidade é do tipo Denial of Service, ou negação de serviço. Um ataque do tipo Denial of Service, ou Negação de Serviço (DoS) consiste em causar lentidão ou indisponibilidade em um site na Internet.

 

Como a empresa negou corrigir o problema, a vulnerabilidade (CVE-2018-6389) permanece sem precedentes e afeta quase todas as versões do WordPress lançadas nos últimos nove anos, incluindo a versão mais recente do WordPress (Versão 4.9.2)

 

Para aqueles que não sabem, o arquivo load-scripts.php foi projetado para que os usuários de administração ajudem um site a melhorar o desempenho e carregar a página mais rapidamente ao combinar (no servidor) vários arquivos JavaScript em uma única solicitação.

No entanto, para fazer o "load-scripts.php" funcionar na página de login do administrador (wp-login.php) antes do login, os autores do WordPress não mantiveram qualquer autenticação no lugar, tornando o recurso acessível a qualquer pessoa.

 

wordpress-dos-attack.png.f05d74372a0c21ad1715ea3cbb4906ef.png

 

Dependendo dos plugins e módulos que você instalou, o arquivo load-scripts.php seletivamente chama arquivos JavaScript necessários passando seus nomes para o parâmetro "load", separados por uma vírgula, como no seguinte URL:

https://sua-wordpress-site.com/wp-admin/load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-gallery

 

Ao carregar o site, o "load-scripts.php" (mencionado no cabeçalho da página) tenta encontrar cada nome de arquivo JavaScript fornecido no URL, anexar seu conteúdo em um único arquivo e depois enviá-lo para a web do usuário navegador


Como solucionar?


Na empresa DialHost Internet, onde faço parte da equipe de infraestrutura, optamos pela configuração diretamente no .htaccess e no wp.config.php das contas dos clientes que possuem o Wordpress.

 

.htaccess

<FilesMatchload-(scripts|styles).php>
Require all denied
<FilesMatch>

wp-config.php

define('CONCATENATE_SCRIPTS', false);

Já o pesquisador liberou uma correção para ser implementada pelos usuários do WordPress, que está disponível a todos

 

Links Relacionados
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389

https://thehackernews.com/2018/02/wordpress-dos-exploit.html?m=1

Editado por Marcio Rubens
Faltou um arquivo a ser configurado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

  • Conteúdo Similar

    • Por Snowden
      A empresa que trabalho está contratando Desenvolvedor Wordpress, com foco em front-end para criação e customização de sites. 
      Necessário conhecimento em PHP e MYSQL.
       
      Experiência em:
      Temas filhos, Plugins Hooks CSS jQuery PHP MYSQL GIT (Caso não tenha aprenderá com nós) DOCKER (Caso não tenha aprenderá com nós)  
      A vaga é apenas presencial, na cidade de São Paulo capital, bairro do Jardim Paulista próximo metrô Brigadeiro.
      Salário: Á Combinar.
      Contratação: CLT ou PJ.
       
      Interessados contactar-me por mensagem privada.
    • Por programadorweb2016
      Boa noite, de repente meu template começou apresentar o seguinte erro,
      Warning: count(): Parameter must be an array or an object that implements Countable in C:\xampp\htdocs\esse\wp-content\themes\Template\inc\admin\metaboxes\init.php on line 746
       
    • Por Marcosvn
      Falaii galera.
       
      Hoje pela manha meu site começou apresentar erro 500 (erro de servidor interno) entrei em contato com o suporte da hostgator e eles ficaram quase uma hora pra dizer que não conseguiram encontrar o problema e q iriam abrir um chamado q pode levar 5 dias. Mas eu não posso esperar tanto assim e quero saber se alguem ai pode me ajudar a resolver isso antes.
       
      O que ta ocorrendo é o seguinte:  20 processos estão em andamento para a url: /home/troca546/public_html/segredosdosonho.com.br/wp-login.php /usr/bin/php 
       
      isso está sobrecarregando o uso de cpu e o site cai toda hora com o erro 500. Porém, é impossível finalizar os processos, eles recomeçam sem parar. E o suporte da hostgator tbm teve o mesmo problema.
       
      Alguem pode me dar uma luz sobre essa situação ??
       
       
    • Por denilson dias
      Olá boa tarde pessoal, eu peguei um freela para editar um tema Motors no wordpress remover algumas funções adicionar outras em fim, só que não sei se é por muito tempo sem praticar faz mais de um ano que não mexo com wordpress e kkk esta osso em fim, estou com muita dificuldade para tirar e adicionar as funções, não sei o q ta acontecendo pois eu clico para adicionar não aparece e quero tirar algumas funções tipo uma calculadora q tem na lateral já revirei o código já vi os plugins e widgets não consigo remover não sei o q faço, vcs podem me dar uma luz por gentileza ?
    • Por Leonardo Hildebrandt
      Exclui a imagem do site para não usar mais mas agora acontece esse erro ao carregar o site o que é e como resolver , a imagem a baixo

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.