O que aconteceu?

Como o ataque funciona

  1. Atacante obtém (ou adivinha) o nome de usuário de um administrador.

  2. Envia requisição à API REST do WordPress usando qualquer senha fictícia.

  3. O plugin interpreta erroneamente o retorno null como sucesso e chama wp_set_current_user().

  4. Resultado: privilégios administrativos plenos; pode até criar um novo admin fantasma.


Quem está vulnerável?

Qualquer site que:


Ação imediata para administradores

Prioridade

Medida

Detalhes

1

Atualizar para 3.4.2

Vá em Plugins → Atualizações ou baixe manualmente no repositório.

2

Sem tempo para patch? Desative o Burst Statistics

Remova ou desligue o plugin até poder aplicar o update.

3

Verifique contas de administrador

Exclua usuários suspeitos criados recentemente.

4

Altere senhas e implemente 2FA

Reduz impacto caso credenciais vazem.

5

Instale um firewall de aplicação (ex.: Wordfence)

Bloqueia probes automáticos enquanto você corrige.


Como confirmar se fui comprometido?


Boas práticas para evitar futuros “zero-day” em plugins

  1. Menos é mais: mantenha apenas plugins essenciais; plugins ociosos viram brechas.

  2. Atualização automática (ou alerta recorrente) para plugins populares.

  3. Princípio do menor privilégio: contas editoras não precisam de acesso total.

  4. Backup diário fora do servidor: restaurar é mais rápido que negociar com invasor.

  5. Monitoramento de segurança: configure alertas para logins e alterações de arquivo.


Conclusão

A falha crítica no WordPress via Burst Statistics é um lembrete: 1 linha de código mal validada pode derrubar milhares de sites. Atualize agora para a versão 3.4.2 ou desative o plugin — este é o passo mais rápido para manter seu WordPress seguro.