Um alerta crítico de segurança foi emitido para administradores de sites WordPress em todo o mundo. Uma falha plugin WordPress Anti-Malware, ironicamente em uma ferramenta voltada à proteção, está colocando milhares de sites em risco imediato.
A vulnerabilidade, identificada como CVE-2025-11705, afeta o popular plugin Anti-Malware Security and Brute-Force Firewall, que possui mais de 100.000 instalações ativas. O problema permite que até mesmo usuários de baixo privilégio, como simples assinantes, leiam arquivos sensíveis do servidor — incluindo o wp-config.php, um dos arquivos mais críticos do WordPress.
Se explorada, essa falha pode resultar no roubo de credenciais do banco de dados, comprometimento total do site e até a instalação de backdoors. Neste artigo, você entenderá o que está acontecendo, por que a ameaça é grave e o que fazer imediatamente para proteger o seu site.
O que é a vulnerabilidade CVE-2025-11705?
A vulnerabilidade CVE-2025-11705 afeta todas as versões do plugin Anti-Malware Security and Brute-Force Firewall iguais ou anteriores à 4.23.81.
O problema foi descoberto pelo pesquisador Dmitrii Ignatyev e divulgado pela equipe da Wordfence, que classificou a falha como crítica. A causa está em uma função do plugin chamada GOTMLS_ajax_scan(), responsável por processar solicitações AJAX. Essa função não realiza uma verificação adequada de permissões, permitindo que qualquer usuário autenticado envie requisições potencialmente perigosas.
Na prática, isso significa que mesmo um assinante, o nível mais baixo de acesso no WordPress, pode usar essa falha para solicitar e ler qualquer arquivo armazenado no servidor do site.
Com isso, dados que deveriam estar completamente inacessíveis podem ser expostos — e entre eles está o arquivo wp-config.php, o alvo mais visado por cibercriminosos em ataques desse tipo.
O perigo real: Por que o acesso ao wp-config.php é um desastre
Para quem administra um site WordPress, é essencial entender o que está em jogo. O arquivo wp-config.php é o coração do WordPress — ele armazena todas as informações de configuração do site, incluindo conexões com o banco de dados e chaves de segurança.
Se um invasor conseguir lê-lo, ele pode roubar:
- Credenciais do banco de dados, como nome, usuário e senha.
- Chaves de autenticação e salts, que permitem falsificar cookies de login e tomar o controle de contas administrativas.
Com esses dados em mãos, o atacante pode:
- Acessar o banco de dados do site e extrair informações de usuários, e-mails e hashes de senha;
- Inserir código malicioso ou criar novas contas de administrador;
- Comprometer completamente o site, transformando-o em parte de uma rede de ataques ou exibindo phishing para visitantes.
Em outras palavras, o acesso indevido ao wp-config.php é o equivalente digital de entregar a chave-mestra do seu servidor a um desconhecido.
Ação imediata: Como corrigir a falha no plugin WordPress Anti-Malware
A boa notícia é que a correção já está disponível. O desenvolvedor do plugin, Eli, lançou em 15 de outubro a versão 4.23.83, que corrige completamente a vulnerabilidade.
A nova atualização adiciona uma verificação adequada de permissões, implementando a função GOTMLS_kill_invalid_user(), que impede que usuários não autorizados executem chamadas AJAX críticas.
O que fazer agora
- Acesse o painel administrativo do seu WordPress.
- Vá até Plugins > Plugins instalados.
- Localize o Anti-Malware Security and Brute-Force Firewall.
- Se a atualização estiver disponível, clique em “Atualizar agora”.
É fundamental não adiar essa ação. Segundo dados do WordPress.org, cerca de 50.000 sites ainda permanecem vulneráveis — metade das instalações conhecidas.
Com a falha já publicamente documentada e com códigos de exploração sendo testados, é apenas uma questão de tempo até que ataques em massa comecem a ocorrer.
Se você utiliza este plugin, atualize imediatamente e, se possível, verifique os logs de acesso e as permissões de arquivos sensíveis no servidor.
Conclusão: Não espere pelo pior, verifique seu site
A CVE-2025-11705 é uma falha crítica que ameaça diretamente a segurança de milhares de sites WordPress. O impacto potencial é devastador, mas a solução é simples: atualizar o plugin para a versão 4.23.83.
Graças à rápida resposta do pesquisador Dmitrii Ignatyev e à divulgação da Wordfence, administradores de sites agora têm a chance de agir antes que o dano ocorra.
Não presuma que seu site está seguro. Verifique a versão do seu plugin agora mesmo, aplique a atualização e compartilhe este alerta com outros administradores e desenvolvedores WordPress. Proteger seu site é proteger toda a comunidade.
