Uma falha de segurança considerada crítica no plugin Burst Statistics colocou cerca de 200 mil sites desenvolvidos em WordPress em risco de invasão cibernética. A vulnerabilidade permite que criminosos obtenham acesso administrativo às páginas sem a necessidade de senha.
A brecha foi identificada pela empresa de segurança digital Wordfence, que informou ter bloqueado milhares de tentativas de exploração nas últimas horas. Segundo os especialistas, os ataques já estão em andamento e podem comprometer completamente os sites afetados.
O problema está relacionado ao sistema de autenticação do plugin junto à API REST do WordPress. Com a falha, invasores conseguem assumir contas administrativas apenas utilizando o nome de usuário do administrador da plataforma.
Com o controle do sistema, hackers podem instalar programas maliciosos, roubar dados, alterar conteúdos e até redirecionar usuários para páginas fraudulentas.
A vulnerabilidade foi detectada no início de maio e corrigida dias depois, com a liberação da versão 3.4.2 do plugin Burst Statistics. Apesar da atualização já estar disponível, milhares de sites seguem expostos por ainda utilizarem versões antigas do sistema.
Especialistas recomendam que administradores atualizem imediatamente o plugin ou suspendam o uso até a instalação da correção de segurança.
