Os plug-ins no WordPress auxiliam os usuários na criação de sites, e-commerces, entre outras necessidades. Além do valor econômico, a empresa WordPress possui uma funcionalidade que atrai até mesmo aqueles que nunca se interessaram por ter um website e optam posteriormente por faze-lo e se saem muito bem com auxílio de plug-ins e outras funções da própria plataforma.
Porém, como os plug-ins são feitos por terceiros e outras empresas desenvolvedoras, se o gerenciamento do WordPress não acompanhar todo o processo, vulnerabilidades e até mesmo códigos maliciosos podem passar despercebidos pela plataforma através desses sistemas externos que ficam disponíveis em uma espécie de loja gratuita do WordPress. Alguns plug-ins são pagos ou oferecem a versão PRO, porém, o direcionamento é feito para um site exclusivo da empresa fornecedora, o que garante mais segurança.
Um dos plug-ins mais utilizados pelos donos de sites na plataforma é o Ultimate Member que disponibiliza a função de login, logout, configuração de perfil e demais ações voltadas para gerenciamento de usuários, que necessitam participar do WordPress como alunos, redatores, instrutores, entre outras funções.
Porém, uma vulnerabilidade no plugin foi encontrada no dia 19 de outubro. Com acesso a página de login, invasores se cadastraram como leitores dos websites e com meta-chaves arbitrárias criadas durante o processo de registro, as mesmas foram utilizadas no banco de dados e assim eles alterarão suas funções para administradores, tendo acesso total as informações do site como cartões de usuários, dados e outras informações relevantes.
Embora a descoberta tenha sido feita no dia 19, a empresa só foi notificada no dia 23, tomou providências o mais rápido junto com os colaboradores de programação e segurança, e lançou uma versão com correção de patchs no dia 29, a mesma está disponível para todos. O que ressalta mais um cuidado importante para os usuários WordPress: as atualizações tanto do sistema, como dos plug-ins devem ser feitas sempre que estiverem disponíveis, pois servem para evitar que falhas se mantenham ativas e seus websites desprotegidos.
Empresas de segurança ressaltaram a importância de ter os próprios plug-ins no WordPress e não contar com aplicativos externos. Como o valor de criação não é acessível a todos, ter um antivírus que protege o banco de dados e o firewall dos sites é essencial para evitar esses tipos de ataques, além de fazer backups diários, evitando que se perca todas as informações e a empresa fique dias fora do ar enquanto ocorre a criação de um novo website.