Contato
Quem Somos
Quero Patrocinar

Vulnerabilidade compromete segurança da Internet

Falha no WordPress permite que um computador consiga derrubar sites feitos na plataforma, utilizando técnica DoS para sobrecarregar script interno com diversas requisições, mesmo sem autenticação
  • Por: Redação
  • fevereiro 9, 2018

Compartilhar:

A maior plataforma usada para fazer websites na atualidade, o WordPress, estava sob uma séria vulnerabilidade. A falha permite que um único computador gere um ataque de DoS (quando um site é derrubado por excesso de acesso) em sites desenvolvidos na plataforma, colocando em risco milhões de páginas em todo o mundo.

 

O WordPress – Para entender a extensão do problema é preciso saber que atualmente, de acordo com a W3Techs (empresa especializada em pesquisas sobre a Web), o WordPress é usado como plataforma online por 29,4% de todos os sites que estão no ar no mundo.

 

Porém uma falha “ingênua” no sistema da plataforma gerou uma vulnerabilidade grave. A própria equipe do WordPress reconheceu a falha e argumenta que o problema deva ser tratado no nível do servidor da rede.

 

A falha – A vulnerabilidade, encontrada pelo pesquisador israelense, Barak Tawily, possibilita que se tire proveito de um script interno do WordPress, o load-scripts.php. Esse script permite que várias requisições sejam feitas de uma vez só (o chamado ataque DDoS) por qualquer um, sem autenticação. O resultado final disso seria uma completa paralisação de sites e em alguns casos de provedores inteiros.

 

O risco para os provedores e donos de site

 

Um ataque como este, do tipo Denial of Service, ou Negação de Serviço (DoS) consiste em causar lentidão ou indisponibilidade em um site na Internet. Hoje em dia é comum os ataques do tipo DoS, que são os ataques de negação de serviço distribuídos. Nesse caso, o site recebe um número imenso de requisições, muito maior do que a sua infraestrutura pode suportar, e o site trava.

 

A solução

 

A princípio, a lógica seria pensar que a última versão do WordPress lançada no dia 6 de fevereiro (4.9.4) resolveria tudo. Mas não é bem assim: na nova versão o script pode lidar com requisições que contenham até 40 arquivos em sequência; isso diminui, mas não resolve o problema – um servidor que contenha várias instâncias do WordPress, ou tenha um WordPress configurado para gerenciar vários sites, ainda pode ser vítima desse ataque. Uma vez que o criminoso pode fazer requisições para todas essas instâncias do WordPress, e assim paralisar o servidor da mesma maneira.

 

Destaques

Q-Day à vista: riscos devem acelerar transição para criptografia pós-quântica?

Tribunal Penal Internacional detecta nova tentativa de ciberataque

Novo malware finge ser assistente de IA para roubar dados de brasileiros, afirma relatório

Brasil está entre os dez países com mais ameaças de malware, afirma pesquisa

Fundamentos da Cyber são construídos por diversidade nas equipes, afirmam gestoras da AWS

Fraudes com Pix e QR Code crescem na América Latina, aponta pesquisa

Colunas & Blogs

Avatar photo
O papel estratégico do DPO, CIO e CISO na gestão de riscos psicossociais: alinhando a NR01 à LGPD
Cristina Sleiman
Avatar photo
Comunicação em Cyber: Qual o impacto do Social Styles na sua carreira?
Denis Nesi
Avatar photo
A jornada dos Agentes de IA
Fabio Correa Xavier
Avatar photo
Tendências da RSA Conference 2025 na visão de CISO Advisor
Glauco Sampaio
Avatar photo
Malware Autônomo e IA Generativa: A Nova Fronteira do Cibercrime no Brasil
Rodrigo Jorge
Avatar photo
Cibersegurança como Política Pública: Regulação
Julio Signorini
Avatar photo
Competências equilibradas para os CISOs
Luiz Firmino
Avatar photo
Resiliência Operacional: Alinhando Capacidades de Resiliência ao Futuro Digital
Renato Lima
Avatar photo
Criando resiliência na gestão de vulnerabilidades
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Capacitação em Deep Learning e Inteligência Artificial para a Segurança Cibernética
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Overview

Novo malware finge ser assistente de IA para roubar dados de brasileiros, afirma relatório

Pesquisa revela que golpistas estão usando anúncios no Google e um aplicativo falso de IA (DeepSeek) para instalar programa que...
Leia Mais
  • Mariana Nalesso Pó
  • junho 30, 2025
Security Report | Overview

Brasil está entre os dez países com mais ameaças de malware, afirma pesquisa

Relatório indica nações que devem tomar precauções extras para tornar os sistemas corporativos mais resilientes contra ataques como ransomware
Leia Mais
  • Mariana Nalesso Pó
  • junho 30, 2025
Security Report | Overview

Fraudes com Pix e QR Code crescem na América Latina, aponta pesquisa

Levantamento mostra as principais táticas utilizadas e os tipos de vulnerabilidades exploradas por criminosos ao realizarem fraudes financeiras em países...
Leia Mais
  • Mariana Nalesso Pó
  • junho 27, 2025
Security Report | Overview

Malware disfarçado em DeepSeek e WPS Office é identificado em nova campanha

Relatório mostra uma nova campanha de ciberataques que usa malware disfarçado de outros sites para o roubo de dados confidenciais,...
Leia Mais
  • Mariana Nalesso Pó
  • junho 27, 2025

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit