Falha no plugin Jetpack do WordPress expôs milhões de sites

Uma recente atualização de plugin colocou em evidência o fato de que uma falha no plugin Jetpack do WordPress expôs milhões de sites.

O Jetpack é um plugin do WordPress extremamente popular (principalmente em servidores linux) e que fornece recursos gratuitos de segurança, desempenho e gerenciamento de sites, incluindo backups do site, logins seguros, verificação de malware e proteção contra ataques de força bruta.

Falha no plugin Jetpack do WordPress expôs milhões de sites

Esse plug-in tem mais de 5 milhões de instalações ativas e foi desenvolvido e atualmente é mantido pela Automattic, a empresa por trás do WordPress.

Agora, a Automattic publicou uma atualização para corrigir uma falha de segurança no Jetpack WordPress.

Falha no plugin Jetpack do WordPress expôs milhões de sites

A vulnerabilidade foi encontrada na maneira como o Jetpack processou o código de incorporação e Adham Sadaqah foi o responsável pela divulgação responsável do problema de segurança.

Embora não tenham sido divulgados muitos detalhes sobre a falha de segurança para proteger os sites que ainda não foram atualizados, o anúncio feito pelo Jetpack diz que o bug afeta todas as versões, começando com a versão 5.1 e voltando até julho de 2017.

Recomenda-se a todos os administradores e proprietários de sites WordPress que apliquem imediatamente a atualização de segurança crítica do Jetpack 7.9.1 para evitar possíveis ataques que possam abusar de uma vulnerabilidade existente desde o Jetpack 5.1.

Você pode atualizar sua instalação para a versão 7.9.1 através do painel ou fazer o download manual da versão do Jetpack 7.9.1 nesse endereço.

Felizmente, os desenvolvedores do Jetpack afirmam que até o lançamento da atualização de segurança crítica do Jetpack 7.9.1, não foi descoberta nenhuma evidência de que a vulnerabilidade foi explorada em estado bruto.

Os desenvolvedores alertam que:

“No entanto, agora que a atualização foi lançada, é apenas uma questão de tempo até que alguém tente tirar proveito dessa vulnerabilidade”

A equipe de desenvolvimento também diz que trabalhou com a equipe de segurança do WordPress.org para lançar patches para todas as versões do Jetpack desde o 5.1 e que “a maioria dos sites foi ou será em breve atualizada automaticamente para uma versão segura”.

De acordo com sua entrada no site WordPress Plugins, no momento, mais de quatro milhões dos mais de cinco milhões de sites WordPress que usam o Jetpack já foram atualizados.

Segundo a equipe de desenvolvimento do Jetpack:

“As versões lançadas hoje incluem 5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2 .2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2.2, 7.3.2, 7.4.2 , 7.5.4, 7.6.1, 7.7.3, 7.8.1, 7.9.1 “

“Se você estiver executando alguma dessas versões, seu site não estará vulnerável a esse problema. Mas, se você não estiver executando o melhor e mais recente – 7.9.1 -, seu site não possui outros aprimoramentos de segurança!”

O Jetpack recebeu outra atualização de segurança para solucionar um problema encontrado durante uma auditoria interna do bloco Formulário de Contato em dezembro de 2018 e uma atualização crítica de segurança corrigindo uma vulnerabilidade na maneira como alguns códigos de acesso do Jetpack foram processados ​​em maio de 2016.
 
No ano passado, os hackers também encontraram um método de instalação de plugins backdoor em sites do WordPress usando contas WordPress.com com pouca proteção e o recurso de gerenciamento remoto do plugin Jetpack.

O que está sendo falado no blog

No Post found.

Post Views: 221
Sair da versão mobile