Executando verificação de segurança...
1
NewsletterOficial
3 min de leitura ·

Comprador adquire 30 plugins populares do WordPress e injeta malware em centenas de milhares de sites

Um ataque em larga escala comprometeu mais de 30 plugins do WordPress após a venda de um portfólio de plugins da empresa indiana “Essential Plugin” para um comprador identificado como “Kris”, por um valor na casa de centenas de milhares de dólares, em uma transação realizada na plataforma Flippa, que incluía toda a operação e plugins com centenas de milhares de instalações ativas.

Após a aquisição, o novo proprietário inseriu código malicioso já nos primeiros commits, embora a vulnerabilidade tivesse sido introduzida anteriormente, em 8 de agosto de 2025, com a contaminação efetiva ocorrendo entre 5 e 6 de abril de 2026. O backdoor permitia execução remota de código a partir de dados controlados por um servidor externo.

O WordPress removeu permanentemente os plugins afetados e forçou uma atualização automática para conter o problema, enquanto administradores devem verificar se utilizam algum dos plugins comprometidos e, em caso positivo, removê-los.

Também é necessário inspecionar o arquivo wp-config.php. Sinais de comprometimento incluem aumento inesperado no tamanho do arquivo, com cerca de 6 KB adicionais de código, além da presença de código suspeito na mesma linha da instrução require_once ABSPATH . 'wp-settings.php';, onde o ataque insere o conteúdo malicioso, bem como blocos de PHP ofuscado, com funções dinâmicas ou chamadas remotas fora do padrão do WordPress.

Os plugins afetados incluem:

  • Accordion and Accordion Slider — accordion-and-accordion-slider
  • Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
  • Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
  • Blog Designer for Post and Widget — blog-designer-for-post-and-widget
  • Countdown Timer Ultimate — countdown-timer-ultimate
  • Featured Post Creative — featured-post-creative
  • Footer Mega Grid Columns — footer-mega-grid-columns
  • Hero Banner Ultimate — hero-banner-ultimate
  • HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
  • Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
  • Popup Anything on Click — popup-anything-on-click
  • Portfolio and Projects — portfolio-and-projects
  • Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
  • Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
  • Preloader for Website — preloader-for-website
  • Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
  • Responsive WP FAQ with Category — sp-faq
  • SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
  • SP News And Widget — sp-news-and-widget
  • Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
  • Ticker Ultimate — ticker-ultimate
  • Timeline and History Slider — timeline-and-history-slider
  • Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
  • WP Blog and Widgets — wp-blog-and-widgets
  • WP Featured Content and Slider — wp-featured-content-and-slider
  • WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
  • WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
  • WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
  • WP Team Showcase and Slider — wp-team-showcase-and-slider
  • WP Testimonial with Widget — wp-testimonial-with-widget
  • WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget

Fonte: https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

Carregando publicação patrocinada...
1