Nesta página: [ocultar]
Vulnerabilidades e credenciais de login roubadas são usadas na maioria dos ataques contra sites. Contudo, outro risco também existe, e envolve a instalação não intencional de backdoors em sites.
Isso pode ser feito enganando os proprietários de sites para instalar um backdoor oculto no software de sites piratas, como componentes de terceiros premium na forma de um tema ou plug-in do WordPress, uma extensão Magento, etc.
Leia também KingComposer WordPress Plugin tem um bug XSS refletido
O risco de plugins e temas pirateados para WordPress
De acordo com pesquisadores de segurança da Sucuri, usando rachado (também conhecido como nulo ou pirateado) software deve ser uma preocupação para os proprietários de sites:
Como esses tipos de software geralmente exigem uma taxa para usar ou instalar, provedores oferecem versões nulas ou rachadas que são "gratuitas" para baixar. O que os usuários podem não perceber é que "grátis" pode vir com um preço de segurança, e maus atores podem estar inclinados a incluir alguns arquivos maliciosos ou trechos de código em uma versão pirata.
Claro, nem todo software rachado anulado oculta backdoors, mas pode ser uma ótima oportunidade para os hackers derrubarem seus backdoors. Backdoors podem ser muito difíceis de detectar. É por isso que os pesquisadores da Sucuri estão alertando sobre os perigos potenciais do acesso remoto em plugins e temas premium.
Um exemplo de provedor de plugins e temas premium piratas é encontrado em thewordpressclub[.]org. Os Termos e Condições do provedor mencionam uma seção sobre Acesso Remoto:
Acesso remoto
Fazendo o download de qualquer arquivo de https://www.thewordpressclub.org e instale-o no seu site WordPress, você permite que o TheWordpressClub controle remotamente seu site e, portanto, :
• para modificar o código fonte
• criar e / ou modificar todo o conteúdo dos tipos de postagem (Postagens, Páginas, produtos…)
Conforme apontado pelos pesquisadores de segurança, "o acesso remoto a esse provedor é realizado por meio de dois arquivos agrupados no download de software nulo":
rms-script-ini.php
rms-script-mu-plugin.php
rms-script-ini.php é descrito como um script malicioso responsável pela inicialização de funções específicas, como criar um backdoor localizado em ./wp-contents / mu-plugins / rms_unique_wp_mu_pl_fl_nm.php.
além disso, esse script também é capaz de conceder acesso administrativo a hackers. O script verifica se há usuários existentes do WordPress usando o método get_users() parâmetro; então, ele realiza consultas para usuários com privilégios de função de administrador. Finalmente, ele define o cookie wp-admin para autenticar o acesso administrativo para qualquer usuário que identificar, Sumos diz.
Leia também Como testar a segurança do seu site WordPress
Como evitar o risco de backdoors
Infelizmente, excluir os plugins piratas do WordPress no wp-admin não será suficiente, como os atores de ameaças geralmente incluem outros recursos para evitar a detecção ou ocultar indicadores de comprometimento. Uma maneira de fazer isso é manipular a exibição CSS da interface wp-admin para que o proprietário do site não possa ver as postagens criadas em seu próprio site WordPress..
A melhor mitigação desses riscos é simplesmente evitar esses fornecedores. O lugar mais seguro para obter plug-ins é o repositório oficial do WordPress, Sucos conclui.