A segurança do WordPress está sob ameaça após a descoberta de código malicioso infiltrado em dezenas de plugins populares, colocando em risco centenas de milhares de sites em todo o mundo.
Descobertas vulnerabilidades críticas em plugins do WordPress
Os plugins do WordPress podem expandir as suas funcionalidades, mas representam também uma faca de dois gumes. Quando o código malicioso consegue penetrar num ecossistema de plugins com grande volume de utilizadores, as consequências propagam-se de forma rápida.
Recentemente, uma marca popular de plugins foi transformada numa arma para descarregar e espalhar software nocivo. Este novo ataque à cadeia de abastecimento foi revelado por Austin Ginder, programador e fundador da Anchor, que descobriu que a ameaça já afetava vários clientes através de um método para proteger as comunicações com o servidor “control and command”.
A investigação de Ginder começou quando um cliente da sua empresa recebeu um alerta da equipa de segurança do WordPress.org. O aviso indicava que o plugin Countdown Timer Ultimate (CTU) continha código perigoso, incluindo uma backdoor que poderia ser explorada por terceiros para obter acesso não autorizado a qualquer site que o tivesse instalado.
Este plugin fazia parte de uma série desenvolvida pela Essential Plugin (EP), uma marca sediada na Índia que foi adquirida recentemente por um grupo desconhecido que opera nos setores das criptomoedas e do jogo online.
A mudança de proprietário que causou este ataque
Logo após a aquisição dos cerca de 30 plugins criados pela EP, o novo proprietário adicionou a referida vulnerabilidade logo na primeira submissão de código. Embora esta backdoor tenha sido inserida há oito meses, a primeira injeção de malware ativa apenas foi registada a 6 de abril de 2026.
O código injetado estava presente num bloco de PHP dentro do ficheiro wp-config.php, um dos componentes centrais de configuração do WordPress. O objetivo do malware passava por recolher links de spam, forçar o redirecionamento de endereços e gerar páginas fraudulentas de forma automática.
O mecanismo responsável por verificar novas instruções vindas dos criminosos utilizava uma técnica invulgar: o domínio do command server estava escondido dentro de um smart contract da rede Ethereum.
Desta forma, o atacante pode atualizar o contrato com um novo domínio a qualquer momento, o que torna as tentativas de desativação do servidor praticamente inúteis.
Após ser notificada, a equipa do WordPress.org removeu todos os plugins associados à marca EP. Ginder disponibilizou entretanto uma lista das extensões confirmadas com este código malicioso, permitindo que os administradores verifiquem se os seus sites estão em risco.
Leia também: