50 mil sites WordPress expostos a falha grave de plugin de backup

O plugin do WordPress Backup Migration é bastante conhecido por facilitar a migração de conteúdos entre sites, mas recentemente foi também descoberta uma falha no mesmo que pode permitir o controlo total dos sites.

De acordo com a empresa de segurança Wordfence, foi recentemente descoberta uma nova vulnerabilidade no plugin Backup Migration, que quando explorada, permite a execução remota de código no mesmo. Esta falha foi classificada como sendo grave, e pode permitir que os atacantes tenham total controlo do site e da sua área de administração.

A falha é relativamente simples de ser explorada, e afeta praticamente todas as versões existentes do plugin, portanto existe um elevado potencial de afetar largas dezenas de sites pela internet.

Ao enviarem um pedido específico para determinados ficheiros do plugin, os atacantes podem executar código remotamente no site, com o potencial de comprometer informações do mesmo ou de obterem acesso ao painel de administração.

A falha foi reportada aos programadores da entidade BackupBliss, responsáveis pelo plugin, que em apenas algumas horas lançaram a correção. A falha foi originalmente reportada a 6 de Dezembro.

Apesar de a atualização do Backup Migration 1.3.8 ter sido lançada para corrigir esta falha, cerca de uma semana depois ainda existem mais de 50.000 websites com versões desatualizadas e vulneráveis do plugin.

Tendo em conta a gravidade da falha, e o simples da mesma ser explorada, recomenda-se que os administradores de sites WordPress com este plugin garantam que se encontram com a versão mais recente.