Usar temas prontos do WordPress ou complementos visuais sem muitos critérios pode ser uma dor de cabeça e tanto. E ao que tudo indica, milhares de blogueiros mundo afora estão descobrindo isso da pior maneira: um complemento para o WordPress possui uma falha de segurança que está sendo usada para espalhar código malicioso pela internet.

O aviso veio da empresa de antivírus Avast, que em setembro bloqueou mais de 2.500 sites infectados, e diz ter bloqueado muitos mais em outubro. No aviso, a empresa explicou como os ataques estão acontecendo: através de um complemento para os temas, chamado TimThumb.

Qual exatamente é a falha de segurança aproveitada não foi comentada pela Avast, mas o que se sabe é que o TimThumb possui uma vulnerabilidade desde três meses atrás, e essa vulnerabilidade permite que crackers possam instalar o framework de invasão BlackHole nos servidores afetados. Uma vez lá, o framework tenta infectar usuários que acessam os blogs comprometidos, testando diversas vulnerabilidades no navegador do usuário.

O problema é que, mesmo já havendo uma nova versão do TimThumb que (em teoria) resolve essa falha, a grande maioria dos blogs não atualizaram o complemento. Isso porque o TimThumb não é necessariamente um plug-in do WordPress, mas sim um script que é instalado junto com o tema, para permitir o redimensionamento de imagens. Ou seja: não há nenhum aviso de que ele precisa ser atualizado.

Para saber se seu blog está infectado, existe uma lista com vários dos temas que usam versões antigas do TimThumb, e a versão 2.0 do script também pode ser baixada e instalada. Em todo o caso, a recomendação é que você sempre tome cuidado com os códigos que utiliza em seu blog. Mesmo scripts de fontes confiáveis podem vir a se tornar uma grande dor de cabeça.

Com Informações: H Online

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Graveheart

Paulo Graveheart

Ex-redator

Paulo Henrique "Graveheart" é formado em Ciências da Computação e fez parte da equipe do Tecnoblog entre 2010 e 2014, como redator. Participou da cobertura de lançamentos no mundo do desenvolvimento de software, PCs, mobile e games. Também tem experiência profissional como desenvolvedor full-stack e technical lead.

Canal Exclusivo

Relacionados

Qual a diferença do WordPress.com e WordPress.org?
Qual a diferença do WordPress.com e WordPress.org?
O que é WordPress?
O que é WordPress?
Malware para Linux invade sites usando 30 falhas diferentes
Malware para Linux invade sites usando 30 falhas diferentes
WordPress encerra compartilhamento no Twitter por causa de preços de API
WordPress encerra compartilhamento no Twitter por causa de preços de API
Plugin abandonado é usado para atacar silenciosamente sites com WordPress
Plugin abandonado é usado para atacar silenciosamente sites com WordPress
Como criar um blog grátis: 5 plataformas com esse propósito
Como criar um blog grátis: 5 plataformas com esse propósito
Microsoft Edge desativa Google FLoC para rastreamento de usuários
Microsoft Edge desativa Google FLoC para rastreamento de usuários
O que é um editor WYSIWYG?
O que é um editor WYSIWYG?
O que é Tumblr? [vida e quase morte da plataforma de blogs]
O que é Tumblr? [vida e quase morte da plataforma de blogs]
Botnet infecta 170 mil TV boxes e tem atividade intensa no Brasil
Botnet infecta 170 mil TV boxes e tem atividade intensa no Brasil