Exploit no WordPress permite hackers desconfigurarem milhares de sites

Se você teve recentemente o site atacado e o hacker deixou uma mensagem “amigável” avisando para atualizar o WordPress então é muito provável que a sua versão do WP seja a 4.7.0 ou 4.7.1.

Eles estão atacando aleatoriamente qualquer site WordPress que esteja nestas versões e desconfigurando qualquer post alterando o título, e em alguns casos, o conteúdo do artigo.

O exploit usado neste ataque recente aproveita-se de uma falha na REST API do WordPress.

Se você ainda não conhece ou não tem ideia do que seja a REST API, ela permite uma integração com acesso externo usando chamadas JSON. Abra uma janela anônima do seu browser e digite a URL do seu site com o slug /wp-json ao final.

Exemplo: https://fatorbinario.com/wp-json

Note que no meu site eu já desativei a API e irá exibir uma mensagem que somente usuários autenticados podem usá-la. Mas se no seu site exibir uma tela com valores de retorno de consulta (resultado do JSON) então veja abaixo como desabilitar.

*Para bloquear o ataque definitivamente atualize o WordPress para a última versão, ou se não for possivel aplique o fix abaixo com um plugin.

Instale e ative o seguinte plugin:

https://wordpress.org/plugins/disable-json-api/

Após ativá-lo acesse a URL /wp-json do seu site novamente (em uma janela anônima) e note que somente usuários autenticados podem usar a API. Obviamente que se você estiver logado no site irá retornar os valores normalmente.