Almy Fróes - Marketing e SEO

Profissional de Marketing e SEO. Leia artigos sobre Marketing, SEO, Redes sociais, Afiliados e muito mais!

Wordpress

Falha no Plugin WordPress LiteSpeed Cache deixa sites vulneráveis!

By Almy
Gostou? Faça mais pessoas felizes, compartilhe!

Cpnfira se seu site wordpress está protegido! Falha no Plugin WordPress LiteSpeed Cache deixa sites vulneráveis, veja como corrigir o problema!

Nos ultimos dias, donos de sites wordpress viram seus sites invadidos e com problemas de segurança. Ao que parece o problema pode ter sido causado pelo famoso plugind e cache litespeed cache. A seguir vamos explicar o que ocorreu e como se proteger.

Compreendendo a Falha no plugin LiteSpeed Cache

A falha de segurança do plugin foi identificada sob o código CVE-2024-28000 e estava presente desde a versão 1.9, conforme detalhado no relatório. Essa vulnerabilidade permitia a escalada de permissões, permitindo que um usuário mal-intencionado não autenticado assumisse o papel de administrador no WordPress.

Leia tambem – veja como escolher notebook para trabalhar com marketing digital

Falha no Plugin WordPress LiteSpeed Cache deixa sites vulneráveis

Para entender o funcionamento dessa vulnerabilidade, é necessário conhecer como o plugin operava:

Uma das principais funcionalidades do LiteSpeed Cache é o Crawler, que permite acessar previamente as páginas do site para gerar o cache, inclusive simulando a navegação de um usuário logado para construir o cache de cada página.

Receba minhas dicas por email:

* indicates required
Não vou perturbar! São no máximo 2 envios por mês, relaxe!

Intuit Mailchimp

Essa simulação envolvia a criação de um hash (litespeed_hash) para a sessão do usuário. No entanto, o método utilizado para gerar esse hash apresentava várias fragilidades, desde a baixa quantidade de combinações possíveis (apenas um milhão), até a falta de segurança criptográfica. Além disso, uma vez gerado, o hash era armazenado no banco de dados e nunca mais era atualizado.

Ao descobrir o hash, um invasor poderia usar o ID de um usuário válido e passar essa informação como parâmetro no cookie litespeed_role. Dessa forma, ele poderia explorar os hashes de validação da simulação de sessão de usuário no WordPress, falsificando um ID de sessão para obter acesso a qualquer conta do WP.

Como corrigir o problema?

Ciente do exploit, a equipe do LiteSpeed rapidamente desenvolveu uma correção e a disponibilizou na versão 6.4, lançada em 13 de agosto.

Apesar do problema ter sido resolvido na versão mais recente, nem todos os administradores atualizaram suas páginas. De acordo com as estatísticas do repositório de plugins do WordPress, aproximadamente 34,2% das mais de 5 milhões de instalações ativas ainda utilizam a versão 6.3.

Desde o lançamento do LiteSpeed Cache 6.4, o pacote foi implementado por milhares de usuários, com a adesão ao update atingindo seu pico na última segunda-feira (19), com 990 mil downloads.

Atualize agora mesmo seu plugin!

Esta é a segunda vez em 2024 que o LiteSpeed Cache serve como porta de entrada para ataques maliciosos. Em maio deste ano, foi descoberta a vulnerabilidade CVE-2023-400

Dicas de segurança para sites wordpress

Aqui estão 5 dicas essenciais de segurança para proteger sites WordPress:

  1. Mantenha o WordPress e os Plugins Atualizados: Certifique-se de que o WordPress, seus plugins e temas estejam sempre na versão mais recente. As atualizações frequentemente corrigem falhas de segurança, protegendo seu site contra vulnerabilidades conhecidas.
  2. Use Senhas Fortes e Autenticação em Dois Fatores (2FA): Senhas fortes e únicas são essenciais para proteger o acesso ao painel de administração. Além disso, habilitar a autenticação em dois fatores (2FA) adiciona uma camada extra de segurança, exigindo uma segunda forma de verificação ao fazer login.
  3. Limite as Tentativas de Login: Configure seu site para limitar o número de tentativas de login falhas. Isso ajuda a prevenir ataques de força bruta, onde hackers tentam diversas combinações de usuário e senha até conseguirem acesso.
  4. Instale um Plugin de Segurança: Utilize um plugin de segurança confiável, como Wordfence ou Sucuri, para monitorar e proteger seu site. Esses plugins oferecem funcionalidades como firewall, verificação de malware e bloqueio de IPs suspeitos.
  5. Faça Backups Regulares: Realize backups frequentes do seu site e armazene-os em um local seguro. Caso seu site seja comprometido, você poderá restaurá-lo rapidamente a partir de um backup recente, minimizando o tempo de inatividade e a perda de dados.

Considerações finais

Bom pessoal, espero que com a atualização seu plugine. site fique seguro ok?

Sugestões e duvidas podem deixar nos comentários!


Gostou? Faça mais pessoas felizes, compartilhe!

By Almy

Almy Fróes é Analista de SEO, Empresário e Problogger. Compartilha no Mestre dos Sites o que aprendeu sobre Marketing de Afiliados, SEO,WordPress, blogs, e otimização de sites

Related Post

Wordpress

10 Plugins WordPress essenciais! [ Atualizado 2024]

Almy
Wordpress

WordPress: dicas de plugins de segurança para seu projeto!

Almy
Wordpress

Plugins WordPress: qual o melhor plugin para comentários?

Almy

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

You Missed

SEO

Dicas de SEO para destacar sua empresa em sua cidade

Wordpress

Falha no Plugin WordPress LiteSpeed Cache deixa sites vulneráveis!

Temas Variados

Atenção blogueiros! Conheça 3 Instituições pra ajudar com seu site!

Temas Variados

Como Desativar o Auxílio de IA do Google: passo a passo!