Seu site de comércio eletrônico WordPress é vulnerável a ataques de injeção de código?

Este mês trouxe más notícias para varejistas de comércio eletrônico cujos sites rodam em WordPress – um plugin muito popular tem uma falha extremamente perigosa. O Welcart, que tem uma grande participação de mercado no Japão, permite que hackers roubem informações de cartão de crédito e bloqueiem sites.

A notícia, embora certamente prejudique Welcart, fará pouco para diminuir a popularidade do WP. Ainda existem muitas razões para escolher o WordPress para eCommerce e muitos exemplos de sites excelentes (e seguros). Da mesma forma, ninguém está acusando WP de ser inseguro per se. No entanto, a vulnerabilidade destaca que plug-ins e temas, mesmo os muito populares, podem ser suscetíveis a violações de dados e ataques.

Neste artigo, explicaremos a vulnerabilidade recentemente descoberta, examinaremos alguns problemas semelhantes que surgiram recentemente e exploraremos o que eles podem nos dizer sobre a segurança do comércio eletrônico WP de maneira mais geral.

Welcart revelou-se vulnerável

Welcart é um plugin pouco conhecido no Ocidente, mas tem uma grande participação de mercado no Japão. O complemento fornece muitas funções úteis para proprietários de lojas de comércio eletrônico, fornecendo funcionalidade de carrinho de compras e uma variedade de opções de pagamento. Isso fez com que ele fosse baixado mais de 20.000 vezes da loja oficial do WP.

Infelizmente, Welcart não é tão seguro quanto parece. Em uma postagem de blog, a empresa de pesquisa de segurança WordFence explicou que eles tinham encontrou uma vulnerabilidade no Welcart o que teoricamente permitiria que hackers se infiltrassem nos sites. Embora deva ser enfatizado que nenhuma dessas ameaças foi relatada “na selva”, a ameaça é real e atual.

O bug foi imediatamente classificado como sério pelo OSWAP, e o editor do plugin, Coline Inc., mudou-se para corrigir seu plugin. A partir da versão 1.9.36 do Welcart, lançado em outubro, os sites são relatados como seguros. Aqui, porém, não é onde a história termina. Embora Coline deva ser aplaudido por agir tão rápido para fechar essa falha de segurança, muitos sites ficaram vulneráveis ​​por semanas.

Leia Também:  Como criar um link curto no WordPress (a maneira mais fácil)

Além disso, este foi um momento particularmente ruim para o surgimento de uma grande vulnerabilidade de plug-in, não apenas porque a temporada de férias está quase chegando, mas também porque o ransomware contra sites WordPress explodiu de forma alarmante no ano passado.

Anatomia de uma falha

Com esses fatores em mente, vamos examinar mais de perto os detalhes das falhas recentemente descobertas e usá-las para obter algumas lições sobre como proteger sites de comércio eletrônico de ataques de injeção de código.

É assim que funciona o ataque, explicado a não técnicos. O plugin Welcart na verdade usa um conjunto de cookies completamente diferente do que o WP usa. Normalmente, esses cookies não são maliciosos: eles são usados ​​para rastrear as sessões do usuário. Mais especificamente, Welcart chama um cookie chamado usces_cookie usando a função get_cookie. O plugin usa usces_unserialize para decodificar o conteúdo do cookie, permitindo a leitura de cookies que já foram entregues aos usuários.

É aqui que as coisas ficam perigosas. Os pesquisadores descobriram que é possível definir o parâmetro usces_cookie, que injetaria objetos PHP uma vez que não fossem serializados. Este problema deveria ter sido (e deveria ter sido) detectado por protocolos de teste de segurança de aplicativos dinâmicos ou quando os aplicativos são constantemente verificado em busca de vulnerabilidades para detectá-los antes que piorem, mas parece que isso não foi feito corretamente no sistema de cookies do Welcart.

Em qualquer caso, os hackers podem usar esse buraco para fazer upload de um objeto PHP malicioso para um site WP e, uma vez que esse objeto seja carregado, ele pode ser usado como uma forma de injetar código malicioso no mesmo site. Como OSWAP coloca, “Como o PHP permite a serialização de objetos, os invasores podem passar strings serializadas ad-hoc para uma chamada não serializada vulnerável, resultando em injeção arbitrária de objetos PHP no escopo do aplicativo.”

Leia Também:  Baixe 10 plug-ins grátis para acelerar seu site WordPress

Com essa funcionalidade, os hackers podem fazer solicitações de tabelas PHP de um site. PHP, para os não iniciados, é o sistema de banco de dados por trás da maioria dos sites WP e contém dados confidenciais sobre clientes e produtos. Portanto, os invasores podem ter obtido acesso aos nomes, endereços ou até mesmo às informações do cartão de crédito de clientes individuais.

O problema com plug-ins

É possível, é claro, exagerar a importância ou impacto desta última vulnerabilidade. No entanto, pode ser usado para ilustrar um ponto muito mais amplo: que todos os proprietários de comércio eletrônico devem ter cuidado ao escolher e instalar plug-ins e devem garantir que sejam mantidos atualizados.

Os plug-ins do WordPress se tornaram, de fato, uma maneira muito “conveniente” de hackers obterem acesso indevido a sites. Em setembro deste ano, uma falha significativa no boletim informativo por e-mail da Icegram e no plug-in do assinante estava afetando mais de 100.000 sites individuais do WordPress.

Os plug-ins são vulneráveis ​​por vários motivos. Um é o fato de que muitos são projetados para permitir que o WP se comunique com outros sites. A maioria das pessoas começa a procurar os produtos de que precisa nos mercados online e, como resultado, os plug-ins que integram o WP a esses mercados são muito populares. Infelizmente, eles também são vulneráveis ​​a hackers se passando por esses mesmos mercados para extrair informações.

Um segundo motivo para a vulnerabilidade é que os plug-ins são frequentemente descontinuados pelos criadores ou deixados instalados pelos proprietários do site muito depois de terem sido marcados como obsoletos. Um dos cibercrimes mais comuns são os ataques XSS, que atualmente são representa mais da metade de todos os ataques lançados contra plug-ins. Os ataques XSS ocorrem quando scripts de natureza maliciosa são injetados diretamente em códigos de plug-ins desatualizados, fornecendo aos hackers acesso ao site WordPress agora comprometido.

Leia Também:  Como saber quando é a melhor hora para publicar um blog ou uma postagem social

Mesmo que os perigos de executar plug-ins e temas desatualizados ou desatualizados sejam bem conhecidos, muitos proprietários de lojas de comércio eletrônico simplesmente não reservam tempo para conduzir auditorias regulares em seus sites e remover plug-ins e temas de que não precisam mais.

O resultado final

Dito isso, você não deve evitar plug-ins ou temas completamente. Afinal, eles são parte do valor exclusivo do WP para muitos proprietários de lojas de comércio eletrônico. Existem muitos temas WordPress para impulsionar sua loja, por exemplo, e plug-ins como o Welcart fornecem um conjunto incrivelmente útil de ferramentas e serviços para varejistas de comércio eletrônico.

No entanto, a recente descoberta da vulnerabilidade demonstra a importância de agir com cautela. Só porque um plug-in foi baixado muitas vezes, não pense que ele é seguro; em vez disso, reserve um tempo para uma rápida pesquisa online para verificar se não foi a fonte dos ataques recentes. Da mesma forma, planeje uma auditoria trimestral dos plug-ins e temas que você instalou e remova aqueles que não está usando.

E, finalmente, não presuma que os plug-ins são a única maneira de melhorar seu site. Existem também muitas práticas de sites acionáveis ​​para aumentar suas vendas sem depender de plug-ins de terceiros que podem deixá-lo vulnerável a hackers.

Compartilhe este Link:

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no pinterest
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no telegram

Deixe um comentário

Receba nossos preços
e condções direto no seu email

Por favor, preencha os campos abaixo:

Preferência de contato: