A descoberta dessa falha é relevante para todos os usuários do WordPress, mas especialmente para aqueles que têm o costume de utilizar a plataforma em locais com internet pública ou mesmo redes inseguras, pois se alguém na mesma conexão tiver acesso a alguma ferramenta de “sniffing”, sua conta pode ser facilmente hackeada.
Coockie de login não é criptografado
Para determinar se o usuário está logado, o WordPress utiliza um cookie chamado “wordpress_logged_in”, uma vez que o cookie é definido, o WP não irá mais pedir credenciais de login até que o cookie expire.
Esse recurso é bastante usado por serviços online, para que o usuário não tenha que fazer o login toda vez que acessar a página. Infelizmente, no caso do WordPress, esse cookie estava em texto simples, o que permitia que ele fosse facilmente interceptado.
Crackers podem bloquear acesso do usuário
Uma vez logado no conta de outro usuário, o cracker pode publicar posts, criar novas páginas, visualizar postagens privadas e entrar em outros blogs em nome da vítima.
Comandos que exijam um novo login para serem executados, no entanto, não ficam acessíveis para quem utiliza esse método de invasão.
Problema foi corrigido, mas vigilância deve continuar
Depois que o problema foi descoberto e divulgado por Yan Zhu, uma tecnóloga da Electronic Frontier Foundation, o WordPress afirmou que tomaria as medidas necessárias para corrigir o erro. Mas, a importância dos programas de antivírus se faz presente mais uma vez. Esse tipo de serviço é o mais confiável para manter seu computador e contas seguras contra ataques simples e mais graves, como no caso do crescimento de malvertising – malicious advertising ou simplesmente anúncio malicioso.
Este artigo foi criado pela equipe Bitdefender Antivírus para uso exclusivo do Marketing Sem Gravata.
Crédito das imagens: Free Digital Photos.