"O especialista no sistema de blogs Wordpress Guilherme Aguiar afirmou que foi fácil ganhar acesso sem uma senha ao sistema de blogs do portal R7, que foi ao ar no último domingo."
0
O coordenador de interface e integração de serviços da equipe Xemelê, do Ministério da Cultura, ganhou acesso ao sistema apenas entrando na página de administração do serviço. Se a Record não tivesse bloqueado os endereços, posts e informações dos usuários poderiam ser danificados.
INFO Online – Como você teve a idéia de acessar as páginas de login do sistema de blogs? Já sabia que era WordPress?
Aguiar – Eu já sabia que o R7 iria utilizar o WordPressMU em seus blogs e, por curiosidade, resolvi fazer alguns testes básicos de segurança. Começo digitando “/wp-admin” logo após a terminação do endereço do site. Já na primeira tentativa, conseguimos logar.
INFO Online – A administração era geral ou só de um blog específico? Que estrago poderia fazer por lá?
Aguiar – Quando loguei pela primeira vez, a administração era somente para um blog, o Blog do Rubens Ewald Filho. Neste caso, eu estava com nível de administrador somente para este blog e tinha permissão de administrador para apagar o conteúdo, comentários, alterar o tema, editar plugins, enfim, fazer o que quisesse. Fiz outras tentativas para ver se era um problema somente nesse blog, mas também consegui acessar os blogs da Fabiola Reipert e do Edu Guedes.
Para minha surpresa, no Blog do Edu Guedes o usuário apareceu como administrador geral, com permissão para inclusive excluir e criar novos blogs.
INFO Online – Como conseguiu entrar sem a senha?
Aguiar – Suponho que o problema ocorreu por eu estar logado em um site em WordPress no meu computador. Ao fazer o teste no site do R7, ele logou acidentalmente por estar compartilhando a mesma chave de autenticação, provavelmente a padrão, assim como ocorre na integração do bbPress com o WordPress.
Vale a pena ressaltar que seria importante o R7, antes do lançamento, ter seguido algumas dicas importantes de segurança. Ou mesmo ter consultado os membros da comunidade oficial do WordPress no Brasil.
No results available
ResetSem resultados
Reset