Se geres um site WordPress e utilizas mapas para mostrar a localização do teu negócio, é altura de verificar as tuas atualizações. O popular plugin WP Go Maps, instalado em mais de 300.000 websites, foi alvo de um alerta de segurança devido a uma vulnerabilidade que permite a alteração não autorizada das configurações dos mapas.
O problema afeta todas as versões do plugin até à 10.0.04 e coloca em risco a integridade dos dados de configuração, permitindo que utilizadores com permissões mínimas causem impacto no funcionamento global da ferramenta.
O que está em causa?
O WP Go Maps (anteriormente conhecido como WP Google Maps) é amplamente utilizado por empresas locais para exibir mapas personalizáveis, áreas de entrega e localizações de lojas sem necessidade de escrever código.
A vulnerabilidade descoberta reside numa verificação de capacidade em falta na função processBackgroundAction(). Em termos simples, o plugin não confirmava devidamente se o utilizador tinha autorização para realizar determinadas ações. Isto significa que qualquer utilizador autenticado com o nível de acesso "Subscritor" (o nível mais baixo no WordPress) poderia modificar as configurações globais do motor de mapas.
Embora um atacante necessite de uma conta básica no site para explorar esta falha, o risco é elevado para sites que permitem o registo aberto de utilizadores. A alteração destas definições afeta o comportamento do plugin em todo o website, o que a Wordfence classifica como uma modificação não autorizada de dados.
Como resolver o problema
A equipa de desenvolvimento do plugin já disponibilizou uma correção. Para mitigar este risco, é essencial que todos os administradores de sites que utilizem o WP Go Maps atualizem imediatamente para a versão 10.0.05 ou mais recente.
Esta atualização reintroduz as verificações de permissão necessárias, impedindo que utilizadores sem privilégios administrativos consigam manipular as definições do mapa, conforme detalhado no relatório técnico da Wordfence.
O histórico recente do plugin mostra que a segurança tem sido um foco de atenção, com quatro vulnerabilidades registadas em 2025 e sete em 2024. Manter os plugins atualizados continua a ser a primeira e mais importante linha de defesa para qualquer gestor de conteúdos na web.
Nenhum comentário
Seja o primeiro!