Nem mesmo a Google encontra-se fora de possíveis problemas com plugins no WordPress. Nas últimas semanas tem vindo a ser verificado um aumento considerável na descoberta e exploração de falhas relacionadas com o WordPress, mais concretamente com os plugins do mesmo.
A mais recente afeta o próprio plugin oficial da Google para a instalação, que conta com mais de 300.000 sites ativos. Apesar de não ser um dos mais populares, o plugin da Google oficial para WordPress permite aos administradores sincronizarem rapidamente os seus sites com a Google Search Console, bem como obterem dados úteis sobre o Google Analytics, Adsense, entre outros.
A empresa de segurança Wordfence, no entanto, descobriu uma falha sobre o mesmo que pode permitir a terceiros acederem diretamente aos dados do Google Search Console através deste plugin – o que pode ter consequências graves para os sites. Por exemplo, um atacante poderia aproveitar esta falha para obter acesso ao Google Search Console de um site e remover o mesmo completamente da Google.
Com o controlo no acesso às ferramentas da Google, os atacantes poderiam também modificar os resultados de pesquisa para outros sites, ou aproveitar a popularidade de uma instalação para tentarem modificar os conteúdos que são apresentados nas pesquisas.
A falha foi descoberta no dia 21 de Abril, sendo que a Google foi informada um dia depois. A correção foi lançada no dia 7 de Maio.
Entretanto a nova versão do plugin com a correção da falha foi também lançada. Além disso, as ferramentas da Google também enviam automaticamente um email sempre que um novo utilizador é adicionado na conta, o que deixa um pouco de notificação para os gestores dos sites caso tenham sido alvo da exploração desta falha. Em todo o caso, a atualização para a versão 1.8.0 do plugin é aconselhado.
Nenhum comentário
Seja o primeiro!