Em ritmo de falhas de segurança, apareceu uma grave no WordPress.org ontem: o repositório oficial de plugins recebeu commits com backdoors. Códigos maliciosos foram implantados em alguns plugins, como o do AddThis, WPTouch e W3 Total Cache.
O pessoal do WordPress percebeu a ação maliciosa e logo viu que não eram commits enviados pelos desenvolvedores dos plugins. Logo então reverteram os plugins a uma versão anterior, lançaram atualizações e bloquearam os acessos ao repositório durante as investigações básicas.
A área de plugins é mantida gratuitamente e é tida como fonte oficial de plugins livres para WordPress. Um caso desses deixa donos de blogs preocupados. Diferente do WordPress.com o .org é para quem mantém o WordPress no seu próprio servidor. O site hospeda plugins e temas de terceiros, que podem ser baixados com confiança – pelo menos não foi o caso de ontem.
Códigos maliciosos em temas ou nos plugins podem fazer bastante estrago nos sites dependendo das configurações do servidor, afinal eles têm acesso à base de dados MySQL do WordPress e a comandos PHP em geral. Se o servidor permitir não é difícil alterarem arquivos de outros sites hospedados ali ou em outros bancos de dados.
O WordPress conta com atualização automática dos plugins (clicando num botão), caso o servidor web tenha permissão de escrita nas pastas dos mesmos. Dada a facilidade, provavelmente vários blogueiros ao redor do mundo atualizaram, já que muitos atualizam sempre que veem nova versão de alguma coisa. Quem atualizou os plugins ontem pode ter pego as versões maliciosas, mesmo quem baixou manualmente enquanto estavam no ar. A saída é, por via das dúvidas, checar os códigos dos plugins ou instalá-los novamente – mas não se sabe até então o que mais pode ter sido alterado nos blogs com os plugins maliciosos, o que dependeria de uma análise maior deles.
A origem do problema parece que não foi identificada. Não sabemos se foi uma invasão por brecha do WordPress.org, ou se foi do outro lado: as senhas dos mantenedores dos plugins alterados. Para evitar maiores transtornos por enquanto, todas as contas do WordPress.org ficaram bloqueadas e é necessário trocar a senha para reativá-las. Isso vale para quem usa os fóruns, trac, commit de plugins ou temas, e até mesmo outros sites do grupo, como bbPress.org e BuddyPress.org.
O post no blog oficial do serviço foi escrito diretamente por Matt Mullenweg, e não aceita comentários nem traz muitos detalhes.
Em abril alguns servidores da Automattic foram invadidos, com a suspeita de que roubaram códigos deles. Vai saber nesses dados estavam também as senhas dos cadastrados no WordPress.org, o que poderia ter gerado um ataque aos plugins bem mais tarde, depois que a poeira baixou. Para um invasor seria mesmo um bom negócio distribuir códigos maliciosos por ali em plugins famosos, o que poderia lhe garantir o acesso a milhares de sites com um trabalho relativamente pequeno.
Para quem atualizou os plugins citados ontem, além atualizá-los novamente agora pode ser bom dar uma conferida nos arquivos do tema. Se a pasta de temas tiver permissão de escrita, pode ser que tenham alterado arquivos nela para inserir mais códigos maliciosos ou links de spam. Quem não atualizou esses plugins não precisa se preocupar com nada.
Veja também
Sobre o Autor
Deixe seu comentário