Falhas em plugin do WordPress podem permitir comprometer websites

Se utiliza o plugin “Wp Database Reset” com a sua instalação do WordPress, é recomendado que atualize a mesma para a versão mais recente. Isto porque foi recentemente descoberta uma nova falha no plugin que pode permitir o acesso administrativo aos sites, sem necessidade de qualquer senha.

Este plugin é utilizado para realizar o reset das bases de dados das instalações do WordPress, mas uma recente falha descoberta no mesmo permitia a qualquer utilizador aceder com permissões administrativas ao site e controlar totalmente as configurações do mesmo.

O plugin, de acordo com os seus autores, encontra-se instalado em mais de 80.000 sites diferentes, pelo que existe um forte potencial para ser utilizado com fins maliciosos.

De acordo com a empresa de segurança Wordfence, responsável pela descoberta da falha, as mesmas terão sido descobertas e notificadas ao autor do mesmo no passado dia 7 de Janeiro. O plugin recebeu entretanto as atualizações e correções antes de ter sido divulgada a informação publica sobre a existência de problemas.

Entre as falhas descobertas existia ainda a possibilidade de um atacante eliminar todos os conteúdos de um website, alterar comentários e mensagens ou realizar diversas atividades especificas sobre tópicos e páginas do WordPress.

A atualização já se encontra disponível, mas ainda é necessário que os utilizadores e administradores dos sites procedam com a atualização manual do plugin, motivo pelo qual ainda existe uma forte possibilidade de exploração das falhas.