Recentemente diversos códigos maliciosos são encontrados em plugins WordPress. Como no caso mais recente, o Display Widgets.

As últimas três versões do plugin continham um código que permite o desenvolvedor publicar qualquer conteúdo em seu site. Um backdoor. O plugin foi removido do repositório WordPress depois dos relatos pela 4ª vez.

É importante tomar cuidado ao instalar plugins no seu site. Veja a quantidade de instalações ativas (mas não só isso), os comentários, e as avaliações.

A segurança no WordPress está cada vez se tornando mais utilizada por conta desses e outros motivos. Ataques no seu site por conta de plugins desatualizados podem ser comuns sem que você note-os.

Linha do tempo da vulnerabilidade

Em 21 de junho, um plugin chamado Display Widgets foi vendido pelo seu proprietário para um usuário conhecido como ‘displaywidget’ nos fóruns WordPress.org.

Em 22 de junho, relatado o primeiro erro. O plugin estava baixando um grande banco de dados de aproximadamente 38 megabytes do próprio servidor. O que não é permitido nos plugins do WordPress.

No dia 23 de junho, o próprio desenvolvedor removeu o plugin do repositório. Houve uma discussão nos fóruns WordPress.org .

Então, em 30 de junho, 7 dias depois, o desenvolvedor lançou a versão 2.6.1 do plugin. Contendo um arquivo chamado geolocation.php que, ninguém percebeu no momento, com um código malicioso.

No dia 1 de julho, o plugin foi novamente removido do repositório do WordPress.

Em 6 de julho, a versão 2.6.2 foi lançada e novamente incluiu o código malicioso mencionado acima, que ainda passou despercebido por todos.

No dia 23 de julho, Calvin Ngan abriu um ticket informando que o plugin Display Widgets estava injetando conteúdo spam no seu site. Dizendo que o código malicioso estava no arquivo geolocation.php.

No dia 24 de julho, a equipe de plugins do WordPress.org removeu do repositório, pela terceira vez.

No dia 2 de setembro, a versão 2.6.3 do plugin foi lançada e incluía o mesmo código malicioso. A linha 117 com o arquivo geolocation.php na versão 2.6.3, o que deixa claro que os próprios autores estão mantendo o código malicioso.

Em 7 de setembro, um usuário do fórum no WordPress.org informa que o spam foi injetado em seu site.

Em 8 de setembro, o plugin foi removido pela quarta vez do repositório de plugins do WordPress.

Lista de plugins WordPress abandonados com vulnerabilidades

Pesquisando esse caso, encontrei algo interessante, uma lista de plugins abandonados do WordPress.

Mas antes, alguns dados:

  • Atualmente, há um total de 37.300 plugins disponíveis no repositório do WordPress;
  • 7.383 desses plugins não foram atualizados nos últimos 2 anos;
  • 3.990 plugins não foram atualizados desde 2010 (7 anos desatualizados).

Em uma análise realizada pela Wordfence, foram encontrados 18 plugins abandonados que estão disponíveis para instalação no WordPress, e que parecem ter vulnerabilidades que não foram corrigidas.

Em cada caso, o plugin não foi atualizado por 2 anos ou mais. Alguns com milhares de instalações ativas.

Confira a tabela disponibilizada, contendo o número de instalações ativas e os detalhes das vulnerabilidades.

Nome do Plugin: WP PHP widget*
Instalações ativas: 30.000
URL do Plugin:https://wordpress.org/plugins/wp-php-widget/
Versão: 1.0.2
Última atualização: 10 de Novembro de 2010
Vulnerabilidade:https://wpscan.com/vulnerability/7286

Nome do Plugin: WP Post to PDF
Instalações ativas: 1.000
URL do Plugin: https://wordpress.org/plugins/wp-post-to-pdf/
Versão: 2.3.1
Última atualização: 5 de Dezembro de 2012
Vulnerabilidade:https://wpscan.com/vulnerability/7144

Nome do Plugin: Spreadsheet
Instalações ativas: 1.000
URL do Plugin: https://wordpress.org/plugins/dhtmlxspreadsheet/
Versão: 2.0
Última atualização: 18 de Agosto de 2012
Vulnerabilidade:https://wpscan.com/vulnerability/6980

Nome do Plugin: Bookmarkify
Instalações ativas: 800
URL do Plugin: https://wordpress.org/plugins/bookmarkify/
Versão: 1.1.3
Última atualização: 15 de Fevereiro de 2010
Vulnerabilidade:https://wpscan.com/vulnerability/8142

Nome do Plugin: Xorbin Digital Flash Clock
Instalações ativas: 600
URL do Plugin: https://wordpress.org/plugins/xorbin-digital-flash-clock/
Versão: 1.0
Última atualização: 24 de Abril de 2013
Vulnerabilidade:https://wpscan.com/vulnerability/6862

O que fazer se estiver utilizando alguns dos plugins acima

Verifique no seu WordPress se alguns dos plugins acima está instalado e ativado. Se sim, veja algumas ações que você pode tomar.

A primeira é entrar em contato diretamente com o autor do plugin, solicitando esclarecimento sobre o assunto.

Ou solicitar informações nos fóruns, principalmente no oficial.

Como saber se um plugin é confíavel

Para finalizar, se nenhuma das alternativas acima foi o suficiente, você pode desativar e remover os plugins que desconfiar.

Recomendo mantê-los atualizados e ficar de olho no banco de vulnerabilidade dos plugins WordPress ou…

Verificar os seguintes itens:

  • Classificação média do plugin;
  • Data da última atualização;
  • Compatibilidade com a versão atual do WordPress.

Essas informações você pode encontrar na página do plugin.

Se você gostou deste conteúdo, peço que ajude mais pessoas a encontrarem esse post, compartilhe com seus amigos.

Abraço.

Fonte: Wordfence