Tag: segurança

Publicado em

Vulnerabilidade detectada no WordPress

Falha de exclusão de arquivo arbitrário presente no núcleo do WordPress.

Arigo traduzido do site wordfence.com

A comunidade de segurança ficou entusiasmada nesta semana após a divulgação de uma vulnerabilidade presente em todas as versões atuais do WordPress. A falha, publicada em um relatório detalhado da RIPS Technologies , permite que qualquer usuário logado com uma função de Autor ou superior exclua arquivos no servidor.

Ao explorar essa vulnerabilidade arbitrária de exclusão de arquivos, os agentes mal-intencionados podem dinamizar e assumir o controle dos sites afetados. O relatório contém os detalhes completos da vulnerabilidade, mas resumimos para um consumo mais casual.

É importante observar que, embora o impacto dessa falha possa ser grave em sites afetados, a exigência de que os invasores protejam credenciais válidas no nível de Autor limita muito a superfície de ataque geral dessa vulnerabilidade.

Resumo de Vulnerabilidade

Em uma instalação padrão do WordPress, qualquer usuário logado com uma função de Autor ou superior tem a capacidade de fazer upload de anexos de mídia e editar seus metadados, como imagens e suas descrições. Uma falha no processo de atualização dos metadados do anexo permite que um usuário mal-intencionado envie uma entrada não-analisada ao definir uma miniatura para o arquivo de mídia. Ao definir os caminhos relativos aos arquivos de destino como a “miniatura” de uma imagem, esses arquivos serão excluídos juntamente com as miniaturas reais quando a imagem for excluída da biblioteca de mídia.

Várias conseqüências potenciais de uma vulnerabilidade arbitrária de exclusão de arquivos foram discutidas no relatório de divulgação, mas, mais importante, o arquivo wp-config.php de um site pode ser excluído. Sem wp-config.php no lugar, o WordPress é forçado a assumir que uma nova instalação está ocorrendo. A partir deste ponto, o invasor pode configurar sua própria instalação do WordPress com eles mesmos como um administrador, que eles podem usar para carregar e executar qualquer outro script que desejarem.

O que fazer

Até que uma atualização oficial seja lançada para corrigir a falha, enviamos uma atualização para o firewall do Wordfence para evitar que essa vulnerabilidade seja explorada. Os usuários do Premium Wordfence terão recebido a atualização antes que este artigo seja publicado, enquanto os usuários gratuitos o receberão trinta dias depois.

Na ausência da proteção do nosso firewall, lembre-se de que um invasor deve ter acesso a uma conta de usuário com permissões de Autor ou superior. Embora isso restrinja estritamente a superfície de ataque dessa vulnerabilidade, saiba que os ataques de empilhamento de credenciais aumentaram em valor, pois agora há um conjunto maior de contas ativas com a capacidade efetiva de derrubar um site. O Wordfence inclui recursos robustos de segurança de login, incluindo proteção contra senha que vazamos  em março.

Por favor, ajude a criar consciência desta vulnerabilidade na comunidade WordPress, porque muitos proprietários de sites WordPress não estão cientes dos riscos de contas de nível ‘Autor’ não seguras.

 

Veja a matéria completa no site:
https://www.wordfence.com/blog/2018/06/arbitrary-file-deletion-flaw-present-in-wordpress-core/?utm_source=list&utm_medium=email&utm_campaign=062718

Publicado em

Introdução aos Ataques de Força Bruta no WordPress

O que é um ataque de força bruta?

Fundamentalmente, um ataque de força bruta é exatamente o que parece: um meio de entrar no back-end de um site com tentativas sucessivas implacáveis. Com um ataque de força bruta nos sites do WordPress, um hacker tentará entrar na área de administração do seu site por meio de tentativas e erros, usando milhares de possíveis combinações de nome de usuário / senha. Isso geralmente é realizado com um software automatizado projetado especificamente para gerar e, em seguida, tentar inúmeras combinações um após o outro, uma e outra vez, com o objetivo de encontrar uma combinação de agulha-em-um-palheiro que os deixará entrar na sua área de administração do WordPress. A partir daí, eles podem causar estragos no a vontade em seu site.

 

Como os hackers usam ataques de força bruta contra sites?

Os ataques de força bruta são difíceis, se não impossíveis, de realizar manualmente. Em vez disso, os hackers escrevem scripts simples, chamados de bots, que realizam milhares dessas tentativas de invasão contra sites no piloto automático. Normalmente, esses bots são personalizados pelos atacantes e projetados para serem facilmente distribuídos em muitas máquinas pirateadas. Esses grupos de bots, ou botnets, trabalham em conjunto com outras ferramentas comumente acessíveis que geram milhares de senhas ou usam uma lista de palavras. O último é muitas vezes referido como um ataque de dicionário, devido à sua dependência de “dicionários” ou longas listas de palavras para tentar como uma lista de senhas e / ou nomes de usuários em seu site. Essas listas podem ser reutilizadas por vários hackers repetidas vezes.

Escrever este tipo de código é uma programação de nível de entrada muito simples, por isso é bastante acessível para praticamente qualquer um que possa querer tentar a escrita de códigos maliciosos. As tarefas que o bot deve realizar são muito básicas desde uma perspectiva de programação: eles devem configurar alguns parâmetros (por exemplo, acessar o formulário de login do seu site), realizar uma solicitação (tente uma combinação de nome de usuário / senha) e verifique a resposta (se funcionou Para iniciar sessão no administrador do WordPress) – e depois configurar para repetir até que seja bem sucedido.

Os ataques de força bruta no seu site podem continuar indefinidamente, até que o bot descubra uma combinação de nome de usuário / senha que permita ao atacante entrar no back end do seu site, ou o bot ficar sem senhas para verificar.

 

Por que os hackers fazem isso?

Uma vez que os invasores tenham obtido acesso ao seu site, eles podem usar seus arquivos e o servidor host para causar uma grande variedade de danos através de comportamentos maliciosos, incluindo:

  • defeacement: o seu site pode exibir conteúdo indesejável e às vezes malicioso, seu próprio conteúdo pode ser excluído e seu site pode ser retirado completamente;
  • Distribuição de malware: as páginas do seu site podem infectar seus visitantes com malware, ransomware e vírus;
  • Spam: seu site pode exibir conteúdo de spam e / ou links para sites de spam;
  • Redirecionamento: acessar seu nome de domínio pode fazer com que seus visitantes sejam redirecionados para sites mal-intencionados ou para páginas que contenham links de afiliados e ganhem dinheiro com os hackers;
  • Roubar recursos do sistema: usando os recursos do seu servidor web, os invasores estão realizando tarefas como campanhas de e-mail e entrega de conteúdo no seu servidor;
  • Diversão: pode ser difícil para algumas pessoas imaginarem, mas alguns atacantes, particularmente os mais jovens, estão simplesmente entediados e acham o ato de piratear os sites dos estrangeiros divertidos, particularmente no caso de ataques de força bruta, que são relativamente simples de aprender E realizar.

Como eu protejo meu site?

A primeira e a melhor linha de defesa contra ataques de força bruta é ter uma combinação de nome de usuário e senha muito forte. Não use “admin” ou um nome de usuário fácil de adivinhar, como o URL do seu site ou “webmaster”.

Exclua todas as contas do nível do administrador que você não precisa. Isso remove contas que podem ser comprometidas.

Porque muitos ataques de força bruta funcionam com uma lista predefinida de palavras de dicionário como uma lista de senhas, o objetivo crucial e principal é ter uma senha que não seja fácil de adivinhar.  Use um gerador de senha para criar senhas longas, fortes e aleatórias para suas contas de administrador do WordPress e, em seguida, altere essas senhas regularmente – por exemplo, a cada 60-90 dias.

Habilitar a autenticação de dois fatores em todas as suas contas de administrador é uma excelente maneira de evitar ataques de força bruta porque, mesmo que um atacante adivinhe sua senha, eles não possuem seu dispositivo móvel, então eles não podem fazer login. Vale a pena notar que, se você tiver o XMLRPC habilitado, os invasores podem ignorar sua autenticação de 2 fatores porque a plataforma WordPress não oferece uma maneira de suportar 2 fatores via XMLRPC no momento.

Uma boa forma de ver se seu site está seguro é fazendo um scaneamento através do Gravity Scan www.gravityscan.com. O site lhe fornecerá os resultados do scaneamento em seu servidor e CMS (Joomla, WordPress, etc)

Caso precise de ajuda entre em contato conosco pelo chat da página.

Orgulhosamente desenvolvido com WordPress