A equipe de segurança do WordPress está ciente de vários golpes de phishing em andamento que se passam pela equipe “WordPress” e da “WordPress Security Team” na tentativa de convencer os administradores a instalar um plugin que contém malware em seus sites.
A equipe de segurança do WordPress nunca enviará um e-mail solicitando que você instale um plugin ou tema em seu site e nunca pedirá um nome de usuário e senha do administrador.
Se você receber um e-mail não solicitado alegando ser do WordPress com instruções semelhantes às descritas acima, desconsidere os e-mails e indique que o e-mail é um spam para o seu provedor de e-mails.
Esses e-mails são vinculados a um site de phishing que parece ser o repositório de plugins do WordPress em um domínio que não é de propriedade do WordPress ou de uma entidade associada. Tanto o Patchstack quanto o Wordfence escreveram artigos com mais detalhes.
E-mails oficiais do projeto WordPress sempre:
- Venha de um domínio
@wordpress.org
ou@wordpress.net
- Também deve apresentar “Assinado por: wordpress.org” na seção de detalhes do e-mail
A equipe de segurança do WordPress só se comunicará com os usuários do WordPress nos seguintes locais:
- O blog Make WordPress Secure em make.wordpress.org/security
- O site principal do WordPress News em wordpress.org/news
A equipe de plugins do WordPress não entra em contato direto com os usuários individuais de um plugin. Qualquer comunicação será realizada exclusivamente com os membros da equipe do plugin, incluindo funcionários, proprietários e colaboradores autorizados. Esses e-mails serão enviados a partir de plugins.wordpress.org e serão assinados conforme indicado acima.
O repositório oficial de plugins do WordPress está localizado em wordpress.org/plugins com versões internacionalizadas em subdomínios, como fr.wordpress.org/plugins, en-au.wordpress.org/plugins, etc. Um subdomínio pode conter um hífen, no entanto, um ponto sempre aparecerá antes do wordpress.org.
Os administradores de um site WordPress também podem acessar o repositório de plugins através do menu de plugins no painel do WordPress.
Como o WordPress é o CMS mais usado, esses tipos de golpes de phishing acontecerão ocasionalmente. Esteja sempre alerta a e-mails não solicitados que lhe peçam para instalar temas ou plugins, ou que contenham links para formulários de login suspeitos
O site Scamwatch tem algumas dicas para identificar e-mails e mensagens de texto que provavelmente serão fraudes.
Como sempre, se você acredita ter descoberto uma vulnerabilidade de segurança no WordPress, siga as políticas de segurança do projeto divulgando de forma privada e responsável o problema diretamente para a equipe de segurança do WordPress através da página oficial do projeto HackerOne.
Agradecemos a Aaron Jorbin, Otto, Dion Hulse, Josepha Haden Chomphosy e Jonathan Desrosiers por suas colaborações e revisão deste post.
Fonte: Wordpress Brasil