Plugins WordPress comprometidos: quando uma atualização oficial vira ameaça
Nem toda atualização resolve problema. Em ataques recentes, plugins legítimos foram alterados para entregar backdoors e spam sem o dono perceber.
Plugins WordPress comprometidos: quando uma atualização oficial vira ameaça
Uma das situações mais difíceis para o dono de um site é quando o problema não vem de um plugin pirata ou desconhecido, mas de um plugin que parecia legítimo.
Casos recentes envolvendo o ecossistema WordPress mostraram que plugins populares podem ser comprados, abandonados, modificados ou atualizados com código malicioso. Para o cliente, tudo parece normal: aparece uma atualização no painel, ele clica em atualizar e acredita que está deixando o site mais seguro.
Mas, quando o plugin foi comprometido, a atualização pode instalar um backdoor, criar redirecionamentos, exibir spam apenas para buscadores ou permitir acesso remoto ao invasor.
Por que isso é perigoso?
O WordPress depende muito de plugins. Eles adicionam formulários, SEO, cache, pagamentos, construtores de página, segurança, integrações e dezenas de outras funções. O problema é que cada plugin também adiciona código novo ao site.
Quando um plugin confiável passa a carregar código malicioso, a infecção pode ficar bem escondida. O administrador vê o plugin instalado normalmente, com nome conhecido, versão aparentemente atualizada e sem erro visível no painel.
Sinais de plugin comprometido
- o site começou a redirecionar visitantes depois de uma atualização;
- aparecem páginas estranhas indexadas no Google;
- novos arquivos PHP surgem dentro de pastas do plugin;
- o plugin faz chamadas para domínios desconhecidos;
- o site mostra conteúdo diferente para buscadores e visitantes;
- usuários administradores desconhecidos aparecem no WordPress;
- a hospedagem alerta sobre spam, phishing ou malware.
Atualizar resolve?
Atualizar é importante, mas nem sempre resolve uma infecção já instalada. Se o plugin vulnerável ou comprometido criou arquivos externos, usuários falsos, alterações no banco de dados ou backdoors em outras pastas, apenas atualizar pode deixar partes do malware para trás.
Por isso, depois de um incidente, o ideal é analisar os arquivos do WordPress, os plugins, o tema ativo, a pasta de uploads, o .htaccess, usuários administradores e o banco de dados.
O que fazer se houver suspeita?
Evite apagar arquivos aleatórios. Primeiro faça uma cópia do site e do banco. Depois, revise o plugin suspeito, verifique se ele ainda existe no repositório oficial, compare arquivos com uma versão limpa e procure sinais de código ofuscado, como eval, base64_decode, chamadas externas e arquivos PHP em locais incomuns.
A PREMA WordPress Security analisa arquivos e banco de dados para identificar malware, backdoors, plugins falsos e redirecionamentos ocultos. Se o seu site começou a se comportar de forma estranha depois de uma atualização, solicite uma análise em prema-it.com.