A maioria das vulnerabilidades do WordPress, cerca de 67% delas descobertas em 2023, são classificadas como de nível médio. Por serem os mais comuns, faz sentido entender o que são e quando representam uma ameaça real à segurança. Estes são os fatos sobre esses tipos de vulnerabilidades que você deve saber sobre elas.
O que é uma vulnerabilidade de nível médio?
Um porta-voz da WPScan, uma empresa de verificação de segurança WordPress de propriedade da Automattic, explicou que eles usam o Common Vulnerability Scoring System (CVSS Scores) para avaliar a gravidade de uma ameaça. As pontuações são baseadas em um sistema de numeração de 1 a 10 e classificações de baixo, médio, alto e crítico.
O porta-voz do WPScan explicou:
“Não sinalizamos os níveis como a chance de acontecer, mas a gravidade da vulnerabilidade com base na estrutura CVSS da FIRST. Falando de maneira geral, uma pontuação de gravidade de nível médio significa que a vulnerabilidade é difícil de explorar (por exemplo, SQL Injection que requer uma conta altamente privilegiada) ou que o invasor não ganha muito com um ataque bem-sucedido (por exemplo, um usuário não autenticado pode obter o conteúdo de postagens de blog privadas).
Geralmente não os vemos sendo tão usados em ataques em grande escala porque são menos úteis do que vulnerabilidades de maior gravidade e mais difíceis de automatizar. No entanto, podem ser úteis em ataques mais direcionados, por exemplo, quando uma conta de usuário privilegiada já foi comprometida ou um invasor sabe que algum conteúdo privado contém informações confidenciais que são úteis para ele.
Sempre recomendamos atualizar as extensões vulneráveis o mais rápido possível. Ainda assim, se a gravidade for média, há menos urgência em fazê-lo, pois é menos provável que o site seja vítima de um ataque automatizado em grande escala.
Um usuário não treinado pode achar o relatório um pouco difícil de digerir. Fizemos o nosso melhor para torná-lo o mais adequado possível para todos os públicos, mas entendo que seria impossível abranger todos sem torná-lo muito chato ou longo. E o mesmo pode acontecer com a vulnerabilidade reportada. O usuário que consome o feed precisaria de algum conhecimento básico da configuração do seu site para considerar qual vulnerabilidade precisa de atenção imediata e qual pode ser tratada pelo WAF, por exemplo.
Se o usuário souber, por exemplo, que seu site não permite que usuários se inscrevam nele. Todos os relatórios de vulnerabilidades do assinante+, independentemente do nível de gravidade, podem ser reconsiderados. Supondo que o usuário mantenha uma revisão constante da base de usuários do site.
O mesmo vale para relatórios de contribuidor+ ou mesmo níveis de administrador. Se a pessoa mantém uma pequena rede de sites WordPress, as vulnerabilidades admin+ são interessantes para ela, já que um administrador comprometido de um dos sites pode ser usado para atacar o superadministrador.”
Vulnerabilidades em nível de colaborador
Muitas vulnerabilidades de gravidade média exigem acesso de nível de contribuidor. Um contribuidor é uma função de acesso que dá ao usuário registrado a capacidade de escrever e enviar conteúdo, embora em geral ele não tenha a capacidade de publicá-lo.
A maioria dos sites não precisa se preocupar com ameaças à segurança que exigem autenticação no nível do colaborador porque a maioria dos sites não oferece esse nível de acesso.
Chloe Chamberland – líder de inteligência de ameaças do Wordfence explicou que a maioria dos proprietários de sites não deve se preocupar com vulnerabilidades de gravidade média que exigem acesso de nível de contribuidor para explorá-las, porque a maioria dos sites WordPress não oferece esse nível de permissão. Ela também observou que esses tipos de vulnerabilidades são difíceis de escalar porque é difícil automatizá-las.
Chloé explicou:
“Para a maioria dos proprietários de sites, as vulnerabilidades que exigem acesso de nível de contribuidor e superior para serem exploradas são algo com que eles não precisam se preocupar. Isso ocorre porque a maioria dos sites não permite o registro em nível de contribuidor e a maioria dos sites não possui contribuidores em seus sites.
Além disso, a maioria dos ataques ao WordPress são automatizados e buscam retornos de alto valor fáceis de explorar, portanto, vulnerabilidades como essa provavelmente não serão alvo da maioria dos agentes de ameaças do WordPress.”
Editores de sites que deveriam se preocupar
Chloe também disse que os editores que oferecem permissões em nível de contribuidor podem ter vários motivos para se preocupar com esse tipo de exploração:
“A preocupação com explorações que exigem acesso em nível de contribuidor para explorar surge quando os proprietários do site permitem o registro em nível de contribuidor, têm contribuidores com senhas fracas ou o site tem outro plugin/tema instalado com uma vulnerabilidade que permite acesso em nível de contribuidor de alguma forma e o invasor realmente deseja entrar no seu site.
Se um invasor conseguir colocar as mãos em uma dessas contas e existir uma vulnerabilidade no nível do contribuidor, ele poderá ter a oportunidade de aumentar seus privilégios e causar danos reais à vítima. Vejamos, por exemplo, uma vulnerabilidade de Cross-Site Scripting em nível de contribuidor.
Devido à natureza do acesso em nível de contribuidor, é altamente provável que um administrador visualize a postagem para revisão, momento em que qualquer JavaScript injetado seria executado – isso significa que o invasor teria uma chance relativamente alta de sucesso devido ao administrador visualizar a postagem para publicação.
Como acontece com qualquer vulnerabilidade de Cross-Site Scripting, isso pode ser aproveitado para adicionar uma nova conta de usuário administrativo, injetar backdoors e, essencialmente, fazer qualquer coisa que um administrador de site possa fazer. Se um invasor sério tiver acesso a uma conta em nível de contribuidor e nenhuma outra maneira trivial de elevar seus privilégios, ele provavelmente aproveitará esse Cross-Site Scripting em nível de contribuidor para obter acesso adicional. Como mencionado anteriormente, você provavelmente não verá esse nível de sofisticação direcionado à grande maioria dos sites WordPress, portanto, são os sites de alto valor que precisam se preocupar com essas questões.
Concluindo, embora eu não ache que a grande maioria dos proprietários de sites precise se preocupar com vulnerabilidades no nível do contribuidor, ainda é importante levá-las a sério se você permitir o registro de usuários nesse nível em seu site, você não impõe regras fortes e exclusivas senhas de usuário e/ou você tem um site WordPress de alto valor.”
Esteja ciente das vulnerabilidades
Embora muitas das vulnerabilidades de nível médio possam não ser motivo de preocupação, ainda é uma boa ideia manter-se informado sobre elas. Scanners de segurança como a versão gratuita do WPScan podem avisar quando um plugin ou tema se torna vulnerável. É uma boa maneira de ter um sistema de alerta em funcionamento para ficar atento às vulnerabilidades.
Plug-ins de segurança do WordPress, como o Wordfence, oferecem uma postura de segurança proativa que bloqueia ativamente ataques de hackers automatizados e podem ser ajustados por usuários avançados para bloquear bots e agentes de usuários específicos. A versão gratuita do Wordfence oferece proteção significativa na forma de firewall e scanner de malware. A versão paga oferece proteção para todas as vulnerabilidades assim que são descobertas e antes que a vulnerabilidade seja corrigida. Eu uso o Wordfence em todos os meus sites e não consigo imaginar criar um site sem ele.
A segurança geralmente não é considerada uma questão de SEO, mas deve ser considerada como tal, porque a falha na segurança de um site pode desfazer todo o esforço feito para que um site tenha uma boa classificação.
Imagem em destaque por Shutterstock/Juan villa torres
