Uma falha de segurança crítica foi identificada, potencialmente colocando em risco mais de 30 mil sites que operam na plataforma WordPress. A vulnerabilidade foi encontrada no plugin miniOrange, uma ferramenta utilizada para criar contas a partir de perfis de redes sociais, que poderia permitir invasões por usuários não autenticados.
A falha, descoberta em maio e já corrigida, estava associada a práticas inseguras na criptografia usada para validar logins através do miniOrange. A ferramenta não usava chaves únicas para validar cada login, mas sim um segredo incorporado no código-fonte e usado em todas as instalações do plugin, o que poderia permitir a invasão de contas.
As plataformas de login, como Twitter, Facebook, Google, Apple, Discord e mais de 40 outras, não eram vulneráveis à exploração, mas as contas criadas pelos usuários dos sites em WordPress estavam. Para um invasor, bastava conhecer o e-mail do alvo para obter acesso a perfis que podem conter dados confidenciais e informações pessoais.
Os pesquisadores de segurança do Wordfence, especializados na plataforma WordPress, explicaram que o maior risco está na manipulação de sites para exibir conteúdo malicioso ou redirecionar usuários. Se o plugin for usado para controlar administradores e editores de uma página, o acesso indevido pode comprometer os domínios, levando a ataques contra visitantes e clientes.
Recomendação:
A recomendação é atualizar imediatamente o miniOrange. A versão 7.6.5 do plugin, lançada em 14 de junho, não é mais vulnerável à exploração, mas todas as versões anteriores são. Isso inicia uma corrida entre administradores de sites, que devem aplicar a atualização, e cibercriminosos que desejam explorar a falha enquanto ela ainda está disponível.
Além disso, como outras medidas de segurança, é crucial manter todas as extensões atualizadas, assim como o próprio WordPress, para que falhas conhecidas como essa sejam mitigadas. Para login de administradores e outras tarefas críticas, é recomendado usar sistemas seguros de autenticação e verificação em duas etapas, além de senhas complexas que não sejam repetidas entre serviços.
