Se estiver a usar o WordPress como a sua plataforma favorita de blogues de código aberto, as probabilidades são bastante elevadas, já ouviu falar da recente falha de segurança encontrada no WP do plugin TimThumb. Se não o fez – deve fazê-lo, porque é bastante grave.
A falha de segurança não é uma vulnerabilidade central do WordPress, por isso não será vulnerável por apenas usar o WordPress. Contudo, a má notícia é que um grande número de temas por aí utiliza o plugin TimThumb para funcionar corretamente e por isso o TimThumb está incluído em muitos plugins e temas do WordPress, tanto gratuitos como pagos. O resultado é que existe uma boa probabilidade de ter o vulnerável TimThumb instalado e a funcionar no seu WordPress, mesmo que não saiba realmente sobre ele ou não se preocupe.
A falha em si é bastante estúpida – o plugin TimThumb permite carregar ficheiros a partir de uma lista dos chamados “domínios de confiança”. Entre esses domínios estão “flickr.com”, “picasa.com”, “blogger.com”, etc – todos eles podem ser úteis no caso de manter a sua galeria de imagens lá e gostaria de ter uma imagem transferida para o seu blog num relance. No entanto, a verificação é defeituosa porque pode contorná-la utilizando um domínio como blogger.com.hacker.com. Este domínio passa a verificação mas pertence ao hacker.com, tornando o guião explorável. Os hackers já têm explorado esta vulnerabilidade na natureza e muitos bloggers já sofreram com ela.
Caso seja um utilizador WordPress e tenha o TimThumb instalado ou ainda pior – já foi hackeado, poderá perguntar-se o que fazer para que as coisas sejam resolvidas? Bem, a boa notícia é que já há uma correcção para o plugin disponível aqui:
A par das boas e más notícias nesta situação, há também uma grande notícia para si, caso o seu WordPress esteja alojado no Gilaug.com – deve ser assegurado sem que você faça nada! Como sempre, temos tentado cuidar dos nossos colegas clientes sem os aborrecer com detalhes desnecessários e coisas técnicas demasiado complicadas. Afinal, confiou-nos o seu website e a sua segurança é o nosso principal objectivo. Por isso, eis o que fizemos – no dia seguinte à exploração, que se a minha memória me serve bem, foi há cerca de um mês atrás – verificámos quantas pessoas estão a usar o plugin TimThumb. O número era devastador – cerca de 15.000 casos de WP tinham-no instalado e cerca de 350 desses já estavam comprometidos.
Obviamente que a actualização de 15.000 casos WP não era uma opção – é um número enorme e dado o facto de existirem tantas versões diferentes do TimThumb e de termos de pedir o consentimento dos clientes antes de actualizar o seu website, era simplesmente impossível de conseguir. Pelo menos não a curto prazo. Assim, decidimos encontrar uma forma inteligente e eficiente de lidar com a vulnerabilidade antes que um número muito maior de clientes fosse afetado. Bem, a maioria dos anfitriões nem sequer se daria ao trabalho de sugerir uma solução, pois definiriam o problema como “para além do âmbito do apoio técnico”, mas tentamos fazê-lo de forma diferente e assegurarmo-nos de que poupamos problemas e trabalhamos para os nossos clientes sempre que possível.
A par das boas e más notícias nesta situação, há também uma grande notícia para si, caso o seu WordPress esteja alojado no Grilaug, deve ser assegurado sem que você faça nada! Como sempre, temos tentado cuidar dos nossos colegas clientes sem os aborrecer com detalhes desnecessários e coisas técnicas demasiado complicadas. Afinal, confiou-nos o seu website e a sua segurança é o nosso principal objectivo. Por isso, eis o que fizemos – no dia seguinte à exploração, que se a minha memória me serve bem, foi há cerca de um mês atrás – verificámos quantas pessoas estão a usar o plugin TimThumb. O número era devastador – cerca de 15.000 casos de WP tinham-no instalado e cerca de 350 desses já estavam comprometidos. Obviamente que a actualização de 15.000 casos WP não era uma opção – é um número enorme e dado o facto de existirem tantas versões diferentes do TimThumb e de termos de pedir o consentimento dos clientes antes de actualizar o seu website, era simplesmente impossível de conseguir. Pelo menos não a curto prazo.
Assim, decidimos encontrar uma forma inteligente e eficiente de lidar com a vulnerabilidade antes que um número muito maior de clientes fosse afetado. Bem, a maioria dos anfitriões nem sequer se daria ao trabalho de sugerir uma solução, pois definiriam o problema como “para além do âmbito do apoio técnico”, mas tentamos fazê-lo de forma diferente e assegurarmo-nos de que poupamos problemas e trabalhamos para os nossos clientes sempre que possível.
e em apenas algumas horas, um dos nossos Engenheiros de Sistemas encontrou a solução, elegante, simples e rápida – o plugin TimThumb utiliza uma pasta chamada tmp/cache para armazenar ficheiros carregados. O que fizemos foi suspender a execução de ficheiros a partir dessa pasta em todas as instâncias do WordPress. Em palavras simples – se carregar uma imagem – funcionará, mas se carregar um script (por exemplo, hack script badass) não o fará. E isso resolveu tudo magicamente, sem qualquer tipo de incómodo para os nossos clientes. Modificamos então o nosso módulo de segurança Apache (mod_security) adicionando algumas regras que impedirão a execução do hack, para que os nossos clientes possam ser protegidos por duas camadas, em vez de apenas uma. E depois notificamos os azarados 350 hackers sobre o que deveriam fazer para resolver as coisas, nomeadamente livrar-se do hack e atualizar a versão plugin.