Mais de 30 extensões do ecossistema WordPress que pertencem ao pacote EssentialPlugin foram comprometidas com código malicioso. Esta falha de segurança crítica permite que atacantes obtenham acesso não autorizado a sites que utilizam estas ferramentas, afetando centenas de milhares de instalações ativas em todo o mundo.
De acordo com as informações reveladas pelo Anchor Hosting, a situação foi detetada por Austin Ginder, fundador da plataforma, após um alerta sobre a presença de acessos de terceiros em plugins do grupo. A investigação detalhada indica que este código malicioso (backdoor) foi introduzido em todos os produtos da EssentialPlugin em agosto de 2025, logo após o projeto ter sido adquirido por um novo proprietário num negócio de seis dígitos.
O funcionamento silencioso do código malicioso
O código malicioso permaneceu inativo durante vários meses, sendo apenas ativado recentemente. Uma vez em funcionamento, o sistema contacta silenciosamente uma infraestrutura externa para descarregar um ficheiro específico, o wp-comments-posts.php, que injeta malware diretamente no ficheiro vital de configuração do site, o wp-config.php.
Esta ameaça foi desenhada para ser invisível para os proprietários dos sites. Conforme explicou Austin Ginder, o sistema utiliza métodos sofisticados para ocultar as suas atividades, mostrando links de spam e redirecionamentos apenas ao Googlebot. Isto significa que, enquanto o dono do site navega normalmente, os motores de busca estão a ver conteúdo fraudulento, o que prejudica gravemente o SEO e a reputação da página.
Medidas de segurança e limpeza manual necessária
A equipa oficial do repositório de extensões reagiu com rapidez, removendo os plugins afetados da loja oficial e forçando uma atualização automática para tentar neutralizar a comunicação com os servidores dos atacantes. No entanto, esta ação automática tem limites importantes que os administradores de sistemas devem conhecer.
Embora a atualização forçada ajude a bloquear novos ataques, ela não limpa automaticamente o ficheiro wp-config.php já infetado. Os especialistas alertam que o malware pode estar escondido em ficheiros com nomes muito semelhantes aos originais, exigindo uma verificação manual rigorosa por parte dos utilizadores. É recomendado que qualquer pessoa que utilize ferramentas deste pacote verifique a integridade dos ficheiros do seu servidor e remova qualquer rasto de código desconhecido.
Nenhum comentário
Seja o primeiro!