Mais de 120.000 tentativas de ataque já foram registradas explorando uma vulnerabilidade crítica no popular tema premium ‘Alone’ para WordPress. O alerta foi emitido pela equipe da Wordfence, que identificou tentativas de invasão antes mesmo da vulnerabilidade ser divulgada publicamente.
A falha, catalogada como CVE-2025-5394, representa uma ameaça real e urgente para milhares de sites ao redor do mundo. O objetivo deste artigo é explicar em detalhes a natureza do problema, orientar os usuários a identificar sinais de comprometimento e, principalmente, ensinar os passos necessários para corrigir e proteger seu site com segurança.
Essa brecha crítica permite que cibercriminosos assumam controle total do WordPress, instalando arquivos maliciosos, criando backdoors e até usuários administradores ocultos. O fato de os ataques terem começado antes da divulgação da falha revela nível elevado de sofisticação e preparação por parte dos atacantes.
O que é a vulnerabilidade no tema ‘Alone’ (CVE-2025-5394)?
A vulnerabilidade WordPress Alone é um bug de upload arbitrário de arquivos não autenticado, ou seja, um invasor pode enviar arquivos maliciosos para o servidor mesmo sem estar logado ou possuir qualquer permissão administrativa.
O problema está relacionado à função alone_import_pack_install_plugin(), presente no código do tema. Essa função permite a instalação de plugins a partir de uma URL externa, mas não possui mecanismos de validação adequados, como verificação de nonce ou autenticação do usuário. Isso possibilita que qualquer pessoa na internet envie uma requisição maliciosa que será processada pelo servidor como se fosse legítima.
As versões afetadas do tema ‘Alone’ são todas até a 7.8.3. A falha foi corrigida na versão 7.8.5, e a atualização já está disponível para os usuários no marketplace da Envato.
Como os invasores transformam a falha em um ataque real
Os cibercriminosos estão explorando ativamente a CVE-2025-5394 para tomar controle total dos sites vulneráveis. A seguir, explicamos como a cadeia de ataque normalmente acontece:
Envio de webshells
O primeiro passo do ataque envolve o envio de webshells – pequenos scripts que funcionam como portas dos fundos para o servidor. Com isso, o invasor pode executar comandos remotos no site, mesmo após a correção do tema.
Backdoors em PHP
Além das webshells, os atacantes inserem códigos PHP maliciosos em arquivos legítimos do WordPress, garantindo um acesso persistente e disfarçado, difícil de ser detectado por usuários comuns.
Criação de usuários administradores ocultos
Um dos métodos mais perigosos é a criação silenciosa de contas administrativas, que não aparecem de imediato no painel de usuários. Isso permite que os invasores assumam o controle total do site a qualquer momento.
Instalação de gerenciadores de arquivos
Por fim, os criminosos instalam plugins de gerenciamento de arquivos, que oferecem acesso direto ao sistema de arquivos e ao banco de dados do site. Com isso, eles conseguem editar, excluir ou instalar qualquer conteúdo, incluindo mais malwares.
Seu site foi comprometido? Sinais de alerta que você deve procurar
A seguir, oferecemos uma lista prática de verificação para ajudar os administradores a identificar sinais de que seus sites foram invadidos.
Verifique por novos usuários administradores
Acesse o Painel do WordPress > Usuários e veja se há contas que você não reconhece com permissões de administrador. Especial atenção para nomes genéricos ou suspeitos.
Procure por plugins e arquivos suspeitos
Navegue até as pastas /wp-content/plugins/ e /wp-content/uploads/. Fique atento a arquivos ZIP, pastas com nomes estranhos, ou plugins que você não instalou.
Analise os logs do servidor
Procure no log do servidor por requisições para o seguinte caminho:
admin-ajax.php?action=alone_import_pack_install_plugin
Esse é o indicador direto de que alguém tentou explorar a falha, mesmo que o ataque não tenha sido bem-sucedido.
Como proteger seu site: passos imediatos e essenciais
Passo 1: Atualize o tema ‘Alone’ imediatamente
A ação mais crítica é atualizar o tema para a versão 7.8.5 ou superior, disponível no marketplace da Envato. Essa versão contém os patches de segurança necessários para bloquear a vulnerabilidade.
Passo 2: Faça uma varredura completa por malwares
Use plugins de segurança confiáveis, como o Wordfence, para escaneamento completo do site. Ele pode identificar webshells, backdoors, arquivos modificados e outros indícios de ataque.
Passo 3: Bloqueie os IPs maliciosos conhecidos
Bloqueie os seguintes endereços IP associados aos ataques recentes em seu firewall (Cloudflare, CSF, etc.):
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 2a0b:4141:820:752::2
Essa medida pode reduzir significativamente o risco de novos ataques, especialmente se seu site ainda não foi atualizado.
Conclusão: a vigilância constante é a melhor defesa
A vulnerabilidade WordPress Alone (CVE-2025-5394) representa uma ameaça séria e real à integridade de sites que utilizam esse tema. Graças ao trabalho da Wordfence e à pronta resposta da equipe da Envato, uma atualização corretiva foi disponibilizada com rapidez.
Porém, a proteção do seu site depende da sua ação. Não espere para se tornar uma vítima. Verifique seu site agora mesmo, aplique a atualização e compartilhe este alerta com outros administradores que possam usar o tema ‘Alone’. A segurança da comunidade depende de todos.
