Esta página está em construção. Estamos trabalhando para melhorá-lo!
Com mais de 47 mil plug-ins no repositório oficial do WordPress e milhares de outros disponíveis em vários outros mercados e sites, encontrar aqueles que funcionam bem é uma tarefa difícil. Encontrar plug-ins do WordPress que sejam seguros e que não coloquem seu site em risco é uma tarefa ainda mais difícil devido à natureza complexa da segurança do WordPress e, muitas vezes, plug-ins enormes com milhares de linhas de código.
Embora não possamos ajudá-lo a evitar todos os plug-ins ruins, podemos identificar aqueles que conheceram e confirmaram vulnerabilidades e problemas de segurança. A menos que você saiba o que está fazendo, esteja testando algo em uma instalação local ou goste de segurança do WordPress, você não deve usar os plug-ins perigosos listados abaixo em sites de produção. Os problemas explicados na tabela abaixo são bem conhecidos e documentados, tornando mais fácil para qualquer pessoa mal intencionada explorar essas falhas de segurança e atacar seu site.
Ao listar plug-ins nesta página, não queremos desrespeitá-los ou a seus autores! Queremos apenas alertar os usuários para não instalarem versões específicas que tenham problemas de segurança conhecidos. Se você acha que seu plugin foi listado com falha ou precisa de ajuda para atualizá-lo, entre em contato conosco.
Como usar esta página e a lista de plugins vulneráveis?
Se você estiver usando algum dos plug-ins listados, verifique novamente o número da versão e confirme se é aquele com problemas conhecidos. Se sim – remova o plugin imediatamente! Isso inclui desativá-lo e excluí-lo. Não apenas desativando. Você também pode entrar em contato com o autor e perguntar se os problemas foram resolvidos e, caso contrário, instá-lo a fazê-lo.
Tipos de vulnerabilidade
Um rápido lembrete das falhas de segurança e problemas mais comuns que os plug-ins do WordPress enfrentam. Observe que a maioria dos problemas é uma combinação de dois ou mais tipos listados abaixo.
Visualização arbitrária de arquivos
Em vez de permitir que apenas determinadas fontes de arquivos sejam visualizadas (por exemplo, modelos de plug-ins), a falta de verificações no código permite que o invasor visualize a origem de qualquer arquivo, incluindo aqueles com informações confidenciais, como wp-config.php
Upload de arquivo arbitrário
A falta de tipo de arquivo e filtragem de conteúdo permite o upload de arquivos arbitrários que podem conter código executável que, uma vez executado, pode fazer praticamente qualquer coisa em um site
Escalonamento de privilégios
Uma vez que o invasor tenha uma conta no site, mesmo que seja apenas do tipo assinante, ele poderá escalar seus privilégios para um nível superior, inclusive administrativos.
injeção SQL
Ao não escapar e filtrar os dados que vão para as consultas SQL, códigos maliciosos podem ser injetados nas consultas e os dados podem ser excluídos, atualizados ou inseridos no banco de dados. Esta é uma das vulnerabilidades mais comuns.
Execução remota de código (RCE)
Em vez de fazer upload e executar código malicioso, o invasor pode executá-lo de um local remoto. O código pode fazer qualquer coisa, desde sequestrar o site até excluí-lo completamente.
Lista de plug-ins WordPress hackeados, perigosos e vulneráveis
Seu site WordPress foi hackeado?
Não se desespere; isso acontece com o melhor de nós. É difícil dar conselhos genéricos sem dar uma olhada no seu site, mas se você ainda conseguir fazer login no administrador do WP, sugerimos instalar o plugin gratuito do Security Ninja. Ele realizará mais de 40 testes em seu site e, com o complemento Core, você pode validar a integridade de seus arquivos principais comparando-os com as cópias mestres seguras armazenadas no WordPress.org. É uma ferramenta inestimável para qualquer site WordPress!
Fontes
A lista dos mais recentes plug-ins perigosos e vulneráveis do WordPress é compilada de várias fontes, incluindo:
