Ataque a 30 plugins WordPress resulta em malware disseminado em milhares de sites
Especialistas em segurança cibernética descobriram que mais de 30 plugins do pacote EssentialPlugin foram comprometidos com um backdoor, permitindo acesso não autorizado a sites WordPress. A campanha maliciosa pode ter afetado centenas de milhares de sites.
MundiX News·18 de abril de 2026·5 min de leitura·👁 9 views
Especialistas em segurança cibernética descobriram que mais de 30 plugins do pacote EssentialPlugin foram comprometidos. Em 2025, invasores desconhecidos implantaram um backdoor neles, abrindo acesso não autorizado a sites rodando WordPress. Centenas de milhares de sites podem ter sido afetados por esta campanha.
A EssentialPlugin foi fundada em 2015, originalmente sob o nome WP Online Support (a mudança de nome ocorreu em 2021). Os produtos da EssentialPlugin incluem sliders, galerias, ferramentas de e-mail marketing, extensões WooCommerce, plugins de SEO e temas.
De acordo com o site oficial da Essential Plugin, os plugins foram instalados mais de 400.000 vezes, e mais de 15.000 clientes usam as soluções da empresa. O backdoor apareceu no código dos plugins em agosto de 2025, logo após a EssentialPlugin mudar de proprietário (a BleepingComputer observa que o novo proprietário pagou uma quantia de seis dígitos pelo projeto). Por muito tempo, o malware não se manifestou, mas foi recentemente ativado e começou a enviar atualizações aos usuários. Foi através do mecanismo de atualização padrão que a infecção se espalhou pelos sites.
Austin Ginder, fundador do provedor de hospedagem Anchor Hosting, foi um dos primeiros a chamar a atenção para o ataque, depois de ser notificado sobre um plugin suspeito. Ao investigar o problema, Ginder descobriu que o backdoor estava escondido em todos os produtos do pacote.
Após a ativação, o malware se conectava silenciosamente a um servidor externo e baixava o arquivo wp-comments-posts.php, que então injetava código malicioso em wp-config.php – o principal arquivo de configuração do WordPress, onde as configurações de conexão do banco de dados são armazenadas.
Para se comunicar com o servidor de comando e controle (C2), o malware usava endereçamento através do blockchain Ethereum, o que dificultava a detecção e o bloqueio do ataque.
Observa-se que, por comando do servidor C2, o malware poderia gerar links de spam, redirecionamentos e páginas falsas. Ao mesmo tempo, todo esse spam era "visível" exclusivamente para o Googlebot, mas não para os proprietários dos sites. Ou seja, o proprietário do recurso não suspeitava de nada, enquanto os mecanismos de busca "viam" o site infectado.
Além disso, de acordo com analistas da PatchStack, o backdoor só era ativado sob uma determinada condição: o endpointanalytics.essentialplugin.com deveria retornar conteúdo serializado malicioso.
Os desenvolvedores do WordPress.org responderam rapidamente ao relatório de atividade maliciosa. Atualmente, os plugins comprometidos estão bloqueados e uma atualização forçada foi enviada para os sites infectados, neutralizando o backdoor e cortando sua conexão com o servidor de controle. No entanto, os especialistas alertaram que a atualização forçada não limpa o wp-config.php, e o arquivo precisa ser verificado manualmente.
Além disso, os administradores são aconselhados a prestar atenção ao fato de que o principal ponto de infecção é o arquivo wp-comments-posts.php (não confundir com o legítimo wp-comments-post.php). No entanto, o malware também pode estar escondido em outros lugares. É crucial realizar uma varredura completa em busca de arquivos suspeitos e verificar a integridade dos arquivos principais do WordPress.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas em segurança cibernética descobriram que mais de 30 plugins do pacote EssentialPlugin foram comprometidos. Em 2025, invasores desconhecidos implantaram um backdoor neles, abrindo acesso não autorizado a sites rodando WordPress. Centenas de milhares de sites podem ter sido afetados por esta campanha.
A EssentialPlugin foi fundada em 2015, originalmente sob o nome WP Online Support (a mudança de nome ocorreu em 2021). Os produtos da EssentialPlugin incluem sliders, galerias, ferramentas de e-mail marketing, extensões WooCommerce, plugins de SEO e temas.
De acordo com o site oficial da Essential Plugin, os plugins foram instalados mais de 400.000 vezes, e mais de 15.000 clientes usam as soluções da empresa. O backdoor apareceu no código dos plugins em agosto de 2025, logo após a EssentialPlugin mudar de proprietário (a BleepingComputer observa que o novo proprietário pagou uma quantia de seis dígitos pelo projeto). Por muito tempo, o malware não se manifestou, mas foi recentemente ativado e começou a enviar atualizações aos usuários. Foi através do mecanismo de atualização padrão que a infecção se espalhou pelos sites.
Austin Ginder, fundador do provedor de hospedagem Anchor Hosting, foi um dos primeiros a chamar a atenção para o ataque, depois de ser notificado sobre um plugin suspeito. Ao investigar o problema, Ginder descobriu que o backdoor estava escondido em todos os produtos do pacote.
Após a ativação, o malware se conectava silenciosamente a um servidor externo e baixava o arquivo wp-comments-posts.php, que então injetava código malicioso em wp-config.php – o principal arquivo de configuração do WordPress, onde as configurações de conexão do banco de dados são armazenadas.
Para se comunicar com o servidor de comando e controle (C2), o malware usava endereçamento através do blockchain Ethereum, o que dificultava a detecção e o bloqueio do ataque.
Observa-se que, por comando do servidor C2, o malware poderia gerar links de spam, redirecionamentos e páginas falsas. Ao mesmo tempo, todo esse spam era "visível" exclusivamente para o Googlebot, mas não para os proprietários dos sites. Ou seja, o proprietário do recurso não suspeitava de nada, enquanto os mecanismos de busca "viam" o site infectado.
Além disso, de acordo com analistas da PatchStack, o backdoor só era ativado sob uma determinada condição: o endpointanalytics.essentialplugin.com deveria retornar conteúdo serializado malicioso.
Os desenvolvedores do WordPress.org responderam rapidamente ao relatório de atividade maliciosa. Atualmente, os plugins comprometidos estão bloqueados e uma atualização forçada foi enviada para os sites infectados, neutralizando o backdoor e cortando sua conexão com o servidor de controle. No entanto, os especialistas alertaram que a atualização forçada não limpa o wp-config.php, e o arquivo precisa ser verificado manualmente.
Além disso, os administradores são aconselhados a prestar atenção ao fato de que o principal ponto de infecção é o arquivo wp-comments-posts.php (não confundir com o legítimo wp-comments-post.php). No entanto, o malware também pode estar escondido em outros lugares. É crucial realizar uma varredura completa em busca de arquivos suspeitos e verificar a integridade dos arquivos principais do WordPress.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
