Hoje pela manhã, ao acessar nosso blog, que é hospedado no WordPress, fomos surpreendidos por um pop-up, solicitando a instalação do Adobe Flash Player. Porém, o endereço gerado era um IP, como esse: http://50.22.91.159/br/flashplayer/, ou seja, não é o instalador do Flash, na verdade.
Depois de muito trabalho procurando encontrar a origem desse instalador, descobrimos um código malicioso na index do tema do blog, como na imagem abaixo, que redirecionava para uma página de phishing.
De acordo com Vanderlley, do site TMasters, esse código é um exploit que usa como base alguns plugins populares, permitindo a hackers o acesso e manipulação de blogs WordPress. “Eles conseguem gerenciar tanto o banco de dados, como os arquivos do servidor da mesma que um ataque por Shell”, comenta no post.
A solução para o problema é remover o código ou apenas comentar a linha do código, inutilizando sua ação. Para prevenir possíveis ataques futuros, é importante instalar plugins de segurança, como o AntiVirus, que vasculha todos os arquivos do site e se tiver algum código malicioso ele encontra e mostra qual é o arquivo; outros plugins de manipulação, como o WP-Sentinel; além disso, tem um pacote de segurança chamado BulletProof Security, que precisa ser configurado.
Não encontramos qual plugin causou o problema, mas é importante frisar que essa não é uma vulnerabilidade do WordPress, e sim dos plugins, que nem sempre são desenvolvidos com a segurança adequada.