A introdução de ferramentas de inteligência artificial no ecossistema do WordPress 7.0 está a levantar novas preocupações de segurança. Segundo a publicação de Oliver Sild, fundador da empresa de segurança Patchstack, na rede social X, a combinação das novas funcionalidades com as tradicionais vulnerabilidades da plataforma vai gerar uma corrida por parte dos piratas informáticos para roubar chaves de API.
O custo oculto das chaves de acesso
Estas chaves de API funcionam como palavras-passe vitais que permitem a uma extensão ou tema comunicar com plataformas externas como Claude, OpenAI ou Gemini. Ao contrário dos planos com mensalidade fixa, estas integrações cobram aos utilizadores diretamente com base no consumo real do sistema.
Na posse de criminosos, estas chaves convertem-se num ativo que pode representar perdas na ordem das dezenas de milhares de euros para os proprietários dos sites. O objetivo dos atacantes passa por alimentar redes de bots em aplicações de encontros e redes sociais, realizar campanhas de phishing em grande escala, programar malware ou simplesmente aceder a dados confidenciais ligados à implementação no próprio servidor.
Falhas conhecidas e a resposta oficial
Para ilustrar o risco prático, foi recentemente comunicada uma falha no sistema de configuração do WordPress 7.0. Durante a introdução da chave para o serviço Anthropic, o navegador pode preencher automaticamente o campo, mostrando os caracteres em texto simples. O relatório oficial no GitHub alerta que esta situação expõe as credenciais a qualquer pessoa que tenha acesso à sessão do navegador ou que esteja a visualizar uma partilha de ecrã, sublinhando que o campo deveria comportar-se com os mesmos mecanismos de segurança de uma palavra-passe convencional.
Perante as críticas e o receio de que o sistema se tenha tornado mais vulnerável por defeito, Matt Mullenweg, cofundador da plataforma, rejeitou a ideia de que os sites sejam genericamente inseguros. O executivo defendeu que a grande maioria das páginas permanece protegida, referindo inclusive que gere plataformas há mais de duas décadas sem qualquer registo de intrusão, apesar de o histórico apontar para um incidente de segurança nos servidores da Automattic em 2011.
O debate sobre a arquitetura do sistema
A comunidade de programadores alargou a discussão aos desafios arquitetónicos da plataforma. Em grupos especializados, especialistas debatem a forma como o sistema lida com segredos e permissões. Andrei Lupu, membro ativo da comunidade, notou que a proteção dos dados torna-se inútil se os atacantes conseguirem aceder à base de dados. Brian Coords reforçou a complexidade do problema, explicando que a capacidade de executar código PHP arbitrário num site comprometido permite fazer as chamadas à API independentemente do local onde as chaves estejam guardadas.
Com os atacantes a reduzirem cada vez mais a janela de tempo entre a descoberta de uma vulnerabilidade e a sua exploração ativa, qualquer plataforma que utilize estas chaves passa a ter um alvo nas costas. A recomendação clara foca-se na necessidade de gerir permissões com rigor e manter uma rotina estrita de atualizações, evitando que o site sirva de canal para faturas avultadas.
from TugaTech https://ift.tt/DyGLJPT
https://ift.tt/whdB1sl
Share your thoughts here.