Um novo caso de malware no WordPress acende o alerta para administradores de sites em todo o mundo. Mais de 30 plugins associados ao pacote EssentialPlugin foram comprometidos em uma campanha de ataque em massa que transforma extensões legítimas em vetores de invasão silenciosa.
O perigo não está apenas no código malicioso, mas na forma como ele se mantém ativo e invisível. Pesquisadores como Austin Ginder identificaram que o ataque permanece funcional desde agosto de 2025, afetando potencialmente centenas de milhares de sites baseados em WordPress.
O cenário é ainda mais grave porque muitos administradores não percebem a infecção. O malware no WordPress utiliza técnicas avançadas de camuflagem, incluindo cloaking e execução distribuída, tornando a detecção manual mais difícil do que o habitual.
Como o malware no WordPress funciona e o uso de C2 em Ethereum
O ataque ao pacote EssentialPlugin não se limita a uma simples injeção de código. Trata-se de uma cadeia estruturada de comprometimento que transforma plugins em canais de comando e controle (C2) altamente resilientes.
Em vez de servidores tradicionais, os invasores utilizam a rede Ethereum como camada de comunicação. Isso dificulta bloqueios, já que as requisições parecem tráfego legítimo de blockchain.
Esse modelo de malware no WordPress permite que comandos sejam atualizados sem alterar diretamente o código visível do plugin, tornando a persistência do ataque extremamente eficiente.
O arquivo wp-comments-posts.php e a camuflagem técnica
Um dos pontos centrais da infecção é o arquivo wp-comments-posts.php, normalmente associado ao processamento de comentários do WordPress.
Nesse ataque, ele é modificado para executar funções adicionais em segundo plano, incluindo:
- Inserção de scripts remotos
- Redirecionamento de tráfego
- Execução de payloads ocultos
O problema é que esse arquivo faz parte do fluxo legítimo do sistema, o que facilita sua permanência sem levantar suspeitas imediatas.
A técnica de enganar o Googlebot (cloaking)
Uma das estratégias mais perigosas desse malware no WordPress é o uso de cloaking, técnica que exibe conteúdos diferentes dependendo de quem acessa o site.
Na prática:
- Usuários comuns veem o site funcionando normalmente
- O Googlebot recebe páginas adulteradas com spam ou links maliciosos
- O dono do site dificilmente percebe a alteração
Esse comportamento compromete diretamente o SEO, podendo levar a penalizações severas nos mecanismos de busca. Além disso, o cloaking cria uma falsa sensação de normalidade, atrasando a resposta à infecção.
A resposta do WordPress.org e as limitações da atualização forçada
Diante da descoberta, o repositório oficial do WordPress adotou uma medida emergencial: desativar e atualizar automaticamente os plugins comprometidos.
No entanto, essa ação não resolve completamente o problema.
A atualização remove parte do código malicioso, mas não elimina todos os vestígios deixados pelo malware no WordPress, especialmente entradas persistentes no sistema, como alterações em arquivos críticos.
Um exemplo crítico é o wp-config.php, que pode conter:
- Chaves de acesso inseridas pelo atacante
- Instruções de conexão com servidores externos
- Backdoors persistentes que sobrevivem à atualização
Isso significa que mesmo sites “atualizados” podem continuar comprometidos.
Guia de limpeza: o que os donos de sites devem verificar agora
A remoção completa do malware no WordPress exige uma abordagem manual e criteriosa. Abaixo estão os principais passos recomendados para administradores e desenvolvedores:
1. Verificar arquivos essenciais do sistema
Inspecione imediatamente:
- wp-config.php
- wp-comments-posts.php
- functions.php de temas ativos
- Arquivos recém-modificados em /wp-includes/
Procure por código ofuscado, funções desconhecidas e chamadas externas suspeitas.
2. Auditar plugins instalados
Mesmo após atualização, revise todos os plugins do pacote EssentialPlugin e outros instalados recentemente.
- Remova plugins não utilizados
- Compare versões com o repositório oficial
- Verifique integridade dos arquivos
3. Procurar backdoors ocultos
O malware no WordPress frequentemente cria portas alternativas de acesso. Fique atento a:
- Arquivos PHP com nomes genéricos em diretórios de upload
- Scripts com funções como
base64_decode,evalougzinflate - Usuários administrativos desconhecidos no banco de dados
4. Revisar banco de dados
O ataque pode injetar:
- Redirecionamentos em tabelas de posts
- Scripts ocultos em widgets
- Entradas maliciosas em opções do sistema
Uma análise completa do banco de dados é essencial.
5. Alterar credenciais e chaves de segurança
Após a limpeza:
- Altere senhas de administradores
- Atualize chaves de autenticação do WordPress
- Revogue acessos FTP e SSH antigos
Conclusão e impactos para o ecossistema WordPress
O comprometimento de mais de 30 plugins do pacote EssentialPlugin mostra como a cadeia de suprimentos de software pode ser explorada de forma silenciosa e devastadora.
O crescimento do malware no WordPress reforça uma realidade crítica: confiar apenas em atualizações automáticas não é suficiente. Auditorias constantes, revisão de código e monitoramento ativo são indispensáveis.
Para o ecossistema WordPress, o impacto vai além da infecção técnica. Há riscos diretos para SEO, reputação de domínio e segurança de dados de usuários.
Administradores de sites devem agir imediatamente. Verificar arquivos, revisar plugins e eliminar qualquer vestígio suspeito pode ser a diferença entre um site saudável e um domínio comprometido por meses sem detecção.
Compartilhar esse alerta com outros profissionais também é parte da defesa coletiva contra esse tipo de ataque.
