Suporte de TI, hospedagem e tecnologia sustentável para empresas
(51) 98143-8470 suporte@itcservice.com.br
ITC Service ITC Service Vila Eunice Velha, Cachoeirinha - RS, 94910-001
WhatsApp
Voltar para notícias
09/06/2026

Plugins maliciosos no WordPress: identificar, remover e evitar

Plugins maliciosos e falsos no WordPress: como detectar código obfuscado, repositório vs nulled, supply chain e checklist antes de instalar extensões no site da empresa.

Plugin malicioso é a porta dos fundos mais comum

Atacantes compram plugins abandonados no repositório oficial, inserem backdoor em atualização e comprometem milhares de sites. Também há plugins falsos distribuídos em fóruns, temas nulled “de brinde” e ZIPs de “otimização SEO” que são shells PHP disfarçados.

Tipos de plugins perigosos

  • Abandonados e reassumidos — mudança de autor no wordpress.org; revisar changelog.
  • Nulled / piratas — Elementor Pro, WooCommerce premium crackados — quase sempre infectados.
  • Genéricos — “SEO Booster 2024”, “Cache Super Ultra” fora do repo oficial sem reputação.
  • Must-use plugins (mu-plugins) — carregam sempre; invasores colocam em wp-content/mu-plugins.
  • Extensões legítimas desatualizadas — vulnerabilidade CVE conhecida, exploit público.

Como identificar plugin malicioso

  1. Compare lista de plugins com inventário documentado pela TI/agência.
  2. Busque em arquivos PHP: eval(, assert(, preg_replace.*\/e, gzinflate(, str_rot13, URLs externas em base64.
  3. Verifique data de modificação recente em plugin que “não deveria mudar”.
  4. Use scanner (Wordfence, Sucuri SiteCheck) — falso positivo existe; analise manualmente.
  5. Confira autor e número de instalações no repositório oficial antes de confiar.

Remoção segura

  1. Desative e delete pelo painel; se painel inacessível, remova pasta via SFTP.
  2. Busque opções órfãs no banco (wp_options com nome do plugin).
  3. Revise cron e scheduled actions (Action Scheduler WooCommerce).
  4. Após remover um plugin, monitore 72 h — backdoors em tema podem reinstalar.

Política corporativa de plugins

  • Allowlist: só plugins aprovados por TI/agência.
  • Ambiente staging para testar update antes de produção.
  • Assinar alertas CVE para stack WordPress + WooCommerce.
  • Proibir admin compartilhado e instalação livre por marketing.
  • Remover plugins inativos — superfície de ataque desnecessária.

Relação com hospedagem invadida

Um plugin comprometido pode escalar para toda a conta de hospedagem em shared hosting. Leia recuperação de hospedagem invadida se o incidente já ultrapassou o WordPress.

Contato ITC

Auditoria de plugins, hardening e plano de manutenção.