Os investigadores da Cybersecurity na empresa de segurança Web da GoDaddy Sucuri descobriram que um plugin inactivo mas legítimo WordPress, Eval PHP, está a ser explorado para comprometer websites. Eval PHP foi originalmente desenvolvido para permitir aos utilizadores adicionar código PHP a artigos e dados de blogues, com a sua actualização mais recente a ter lugar há cerca de uma década. Desde então, tem experimentado downloads insignificantes durante um período prolongado antes de testemunhar um aumento súbito de downloads no mês passado, acumulando mais de 100.000 downloads com um pico de até 7.000 downloads diários.
O aviso Sucuri desenvolve as tácticas empregadas pelos hackers que utilizam o PHP Eval. O código cria um script PHP no docroot do website que apresenta um backdoor de execução de código remoto especificado utilizando a função file_put_contents. Como a backdoor utiliza o $_REQUEST[id] para adquirir o código executável PHP, pode obter o conteúdo de $_GET, $_POST, e $_COOKIE, escondendo efectivamente os seus parâmetros ao aparecer como cookies. Sucuri salienta que apesar de ser menos detectável do que o POST, o GET é igualmente perigoso.
Além disso, Sucuri identifica que os hackers criam backdoors em vários postos de rascunho, tornando-os invisíveis ao público e mais difíceis de descobrir em comparação com as páginas publicadas. WordPress tem ainda de comentar a sua política relativamente a plugins abandonados em resposta aos inquéritos do TechRadar Pro. Até lá, Sucuri aconselha os utilizadores de WordPress a fortificarem o seu painel wp-admin e a controlarem diligentemente a sua actividade. A organização oferece um plano em quatro etapas para melhorar a segurança:
- Assegurar que o seu website permanece actualizado e corrigido de acordo com os últimos comunicados de segurança
- Implementar autenticação de dois factores (2FA) ou uma medida semelhante de restrição de acesso para o seu painel de administração
- Manter backups regulares do website para salvaguardar contra incidentes imprevistos
- Utilizar uma firewall de aplicação web para proteger contra bots maliciosos e virtualmente corrigir vulnerabilidades conhecidas
Com a crescente adopção das plataformas no-code e low-code, os criadores e líderes empresariais podem construir aplicações web e móveis com facilidade, contornando as complicações de plugins desactualizados. Uma dessas soluções é a plataforma AppMaster, uma ferramenta acessível e escalável no-code para a criação de aplicações backend, web, e móveis. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Para informações mais detalhadas sobre o desenvolvimento de aplicações no-code e low-code, consulte o nosso guia abrangente: Guia completo em No-Code, Desenvolvimento de aplicações de código baixo para 2022.
