{"id":1766,"date":"2023-12-25T15:00:00","date_gmt":"2023-12-25T18:00:00","guid":{"rendered":"https:\/\/kangaroo.host\/blog\/vulnerabilidade-no-plugin-wp-rocket\/"},"modified":"2025-07-14T16:57:24","modified_gmt":"2025-07-14T19:57:24","slug":"vulnerabilidade-no-plugin-wp-rocket","status":"publish","type":"post","link":"https:\/\/kangaroo.host\/blog\/vulnerabilidade-no-plugin-wp-rocket\/","title":{"rendered":"Vulnerabilidade de seguran\u00e7a no WP Rocket: o que voc\u00ea precisa saber"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">No dia 20 de julho de 2023, foi divulgada uma vulnerabilidade de seguran\u00e7a no plugin <a href=\"https:\/\/wp-rocket.me\" target=\"_blank\" rel=\"noopener\">WP Rocket<\/a>, um dos plugins de cache mais populares do <a href=\"https:\/\/wordpress.org\" target=\"_blank\" rel=\"noopener\">WordPress<\/a>.\u00a0<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A falha de seguran\u00e7a, classificada como Local File Inclusion (LFI), permite que um invasor obtenha acesso a arquivos confidenciais do site, como o arquivo de configura\u00e7\u00f5es do WordPress, o banco de dados ou at\u00e9 mesmo os arquivos de m\u00eddia.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">O que \u00e9 uma vulnerabilidade LFI?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Uma vulnerabilidade LFI ocorre quando um aplicativo web n\u00e3o verifica adequadamente os dados de entrada do usu\u00e1rio, o que pode permitir que um invasor inclua um arquivo malicioso no contexto do aplicativo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Esse tipo de brecha pode levar \u00e0 execu\u00e7\u00e3o de c\u00f3digo arbitr\u00e1rio ou ao roubo de informa\u00e7\u00f5es confidenciais, uma vez que usu\u00e1rios mal intencionados podem adicionar qualquer tipo de c\u00f3digo malicioso ao site.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Como a vulnerabilidade do WP Rocket funcionava?<\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/kangaroo.host\/blog\/wp-content\/uploads\/2023\/12\/wp-rocket-vulnerabilidade.png\" alt=\"Vulnerabilidade no WP Rocket\" class=\"wp-image-7709\"\/><figcaption class=\"wp-element-caption\">Imagem gerada por IA<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">A brecha de seguran\u00e7a do WP Rocket ocorre na fun\u00e7\u00e3o get_file_url(), que \u00e9 usada para obter o URL de um arquivo. A fun\u00e7\u00e3o n\u00e3o verifica adequadamente os dados de entrada do usu\u00e1rio, o que pode permitir que um invasor inclua um caminho de arquivo malicioso.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Por exemplo, um invasor pode enviar a seguinte solicita\u00e7\u00e3o HTTP ao plugin:<\/p>\n\n\n\n<pre>\n <code id=\"htmlViewer\" style=\"color:rgb(186, 186, 186); font-weight:400;background-color:rgb(43, 43, 43);background:rgb(43, 43, 43);display:block;padding: .5em;\">\/wp-admin\/admin-ajax.php?action=rocket_cdn_purge&amp;files[]=..\/..\/..\/..\/..\/wp-config.php<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Essa solicita\u00e7\u00e3o instrui o plugin a purgar o cache do arquivo wp-config.php, que cont\u00e9m informa\u00e7\u00f5es confidenciais, como as credenciais de acesso ao banco de dados.\u00a0<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dessa forma, o site ficaria indispon\u00edvel at\u00e9 que o arquivo fosse recriado corretamente.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Quais s\u00e3o as consequ\u00eancias da vulnerabilidade?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um invasor que explora a falha pode obter acesso a arquivos confidenciais do site, como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>O arquivo de configura\u00e7\u00f5es do WordPress;<\/li>\n\n\n\n<li>O banco de dados, que cont\u00e9m todas as informa\u00e7\u00f5es do site, como artigos, p\u00e1ginas, usu\u00e1rios e coment\u00e1rios;<\/li>\n\n\n\n<li>Os arquivos de m\u00eddia, que cont\u00eam imagens, v\u00eddeos e outros arquivos;<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">O invasor pode usar essas informa\u00e7\u00f5es para:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Modificar o conte\u00fado do site ou as configura\u00e7\u00f5es de seguran\u00e7a;<\/li>\n\n\n\n<li>Roubar informa\u00e7\u00f5es confidenciais, como dados de usu\u00e1rios ou informa\u00e7\u00f5es financeiras;<\/li>\n\n\n\n<li>Infiltrar o site com malware ou ransomware.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Como corrigir a vulnerabilidade?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">O problema foi corrigido na vers\u00e3o 3.14.3, lan\u00e7ada em 22 de julho de 2023. Portanto, os usu\u00e1rios devem atualizar o plugin para a vers\u00e3o mais recente o mais r\u00e1pido poss\u00edvel.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Se voc\u00ea n\u00e3o puder atualizar o plugin imediatamente, pode seguir as seguintes recomenda\u00e7\u00f5es para mitigar o risco:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Remova a permiss\u00e3o de escrita para todos os arquivos e pastas do site, exceto para os arquivos e pastas que voc\u00ea precisa editar.<\/li>\n\n\n\n<li>Habilite a verifica\u00e7\u00e3o de credenciais de arquivo do WordPress.<\/li>\n\n\n\n<li>Use um firewall de aplica\u00e7\u00e3o web para bloquear solicita\u00e7\u00f5es HTTP maliciosas.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Como se proteger de vulnerabilidades de seguran\u00e7a?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A melhor maneira de se proteger de vulnerabilidades de seguran\u00e7a desse tipo \u00e9 manter seus aplicativos e plugins atualizados, uma vez que os desenvolvedores de software lan\u00e7am atualiza\u00e7\u00f5es de seguran\u00e7a regularmente para corrigir falhas de seguran\u00e7a j\u00e1 conhecidas.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Al\u00e9m disso, voc\u00ea deve implementar medidas de seguran\u00e7a b\u00e1sicas, como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Use uma senha forte e \u00fanica para todos os seus sites.<\/li>\n\n\n\n<li>Habilite a verifica\u00e7\u00e3o de dois fatores para todas as suas contas online.<\/li>\n\n\n\n<li>Fa\u00e7a backups regulares do seu site.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Para dicas de seguran\u00e7a mais abrangentes, recomendamos dar uma olhada neste outro artigo: <a href=\"https:\/\/kangaroo.host\/blog\/10-dicas-seguranca-wordpress\/\">10 dicas de seguran\u00e7a para sites Wordpress<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclus\u00e3o<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A vulnerabilidade do WP Rocket \u00e9 um lembrete importante da import\u00e2ncia de manter seus aplicativos e plugins atualizados. A identifica\u00e7\u00e3o da falha LFI e suas potenciais ramifica\u00e7\u00f5es ressaltam a necessidade urgente de atualiza\u00e7\u00f5es imediatas por parte dos usu\u00e1rios do plugin.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Por isso, se voc\u00ea usa o plugin, atualize-o assim que poss\u00edvel para a vers\u00e3o mais recente o mais r\u00e1pido poss\u00edvel!\u00a0 Em um cen\u00e1rio digital em constante evolu\u00e7\u00e3o, a\u00e7\u00f5es proativas, como manter pr\u00e1ticas s\u00f3lidas de seguran\u00e7a e adotar atualiza\u00e7\u00f5es regulares, s\u00e3o fundamentais para preservar a integridade dos sites.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>No dia 20 de julho de 2023, foi divulgada uma vulnerabilidade de seguran\u00e7a no plugin WP Rocket, um dos plugins de cache mais populares do WordPress.\u00a0 A falha de seguran\u00e7a, classificada como Local File Inclusion (LFI), permite que um invasor obtenha acesso a arquivos confidenciais do site, como o arquivo de configura\u00e7\u00f5es do WordPress, o [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1768,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21],"tags":[248,18,25,26,20,53],"class_list":["post-1766","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca","tag-falha","tag-plugin","tag-seguranca","tag-vulnerabilidade","tag-wordpress","tag-wp-rocket"],"_links":{"self":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/1766","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/comments?post=1766"}],"version-history":[{"count":1,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/1766\/revisions"}],"predecessor-version":[{"id":2641,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/posts\/1766\/revisions\/2641"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/media\/1768"}],"wp:attachment":[{"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/media?parent=1766"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/categories?post=1766"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kangaroo.host\/blog\/wp-json\/wp\/v2\/tags?post=1766"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}