Após a confusão gerada por um ex-funcionário, a WPML recomenda a alteração das passwords de acesso ao plugin.
A WPML, a empresa por detrás do plugin do WordPress, passou por alguns dias traumatizantes, depois de muitos dos seus clientes terem recebido um e-mail a avisá-los de “uma enorme quantidade de falhas de segurança” no código do plugin.
Essas vulnerabilidades, conforme referido, levariam ao comprometimento de dois dos sites do remetente do e-mail, o que significa que outros sites que utilizassem o plugin estariam também em risco. Mas como o criador do plugin referiu pouco depois, o e-mail enviado não foi um aviso bem-intencionado.
O programador do WPML, Amir Helzer, referiu: “Muitos de nossos clientes receberam e-mails muito preocupantes sobre uma enorme lacuna de segurança no plugin WPML. Este e-mail foi enviado por um intruso que entrou no nosso site e utilizou o nosso servidor de mail. Obviamente, essa mensagem não foi enviada por nós. Se você recebeu tal e-mail, por favor, apague-o”.
“Os nossos dados mostram que o hacker usou informações privilegiadas (uma antiga password de SSH) e uma brecha que ele deixou para si próprio enquanto era ainda nosso funcionário. Este hack não foi feito através de um exploit no WordPress, WPML ou outro plugin, foi sim através do uso de informações privilegiadas “, escreveu Helzer, sugerindo um caso de ‘o inimigo interno’.
Por outras palavras, o incidente foi facilitado por uma backdoor que o ex-funcionário plantou no local antes de abandonar a empresa. Esta situação envolveu ainda a desfiguração do site do plugin e um post no blog com o mesmo aviso da mensagem de e-mail.
Tudo está bem quando acaba bem?
De acordo com o post de Helzer, a equipa por detrás da WPML já tem o “wpml.org atualizado, reconstruiu e tornou a instalar tudo”, assim como um acesso seguro à interface de administrador com autenticação de dois fatores (2FA). Helzer também ressalvou que o plugin em si não era vulnerável, e as informações dos clientes não foram comprometidas, já que a empresa não as armazena.
Contudo, ficou claro também que o intruso tem acesso aos nomes e e-mails de clientes e às contas WPML dos clientes.
Assim, aos utilizadores da ferramenta – que se destina a ajudar a criar sites multilingues através do WordPress – é recomendado que redefinam as suas passwords no wpml.org, bem como noutros sites onde possam utilizar as mesmas credenciais de login. Cerca de 600.000 sites usam o plugin.