Segurança em Plugins GPL: Como Identificar Backdoors Ocultos em Temas e Plugins Nulled
Você já se perguntou por que tantos sites WordPress são invadidos mesmo com plugins de segurança ativos? A resposta está nos plugins e temas GPL modificados – especialmente os chamados “nulled”. Esses arquivos, prometidos como gratuitos, frequentemente carregam backdoors que permitem que criminosos assumam o controle do seu site.
Por que plugins nulled são tão perigosos?
Plugins nulled são versões pirateadas de plugins premium, geralmente alteradas para remover licenças ou ativar funcionalidades pagas. Mas os hackers vão além: injetam código malicioso que cria usuários administradores secretos, envia dados para servidores remotos ou insere links escondidos. Um estudo de 2025 revelou que 78% dos sites invadidos usavam ao menos um plugin nulled.
O que procurar para identificar backdoors?
Você não precisa ser especialista em PHP para detectar anomalias. Siga este checklist técnico:
- Variáveis base64: Procure por
base64_decode,evaloupreg_replacecom modificador ‘e’. Essas funções são frequentemente usadas para executar código malicioso. - Requisições externas: Use ferramentas como WPScan ou Plugin Check para identificar chamadas a domínios suspeitos. Backdoors comuns incluem
wp_remote_get()para enviar dados do site. - Arquivos ocultos: Cuidado com arquivos como
error.php,sys.phpouwp-config-sample.phpdentro de pastas de plugins. Eles podem conter instruções para reativar o backdoor mesmo após limpeza.
Métodos avançados de verificação
Se você administra múltiplos sites, automatize a análise com Nuclei ou YARA. Crie regras que detectem padrões como:
rule Backdoor_WordPress { strings: $eval = "eval(" $base64 = "base64_decode" condition: $eval or $base64 }Além disso, compare o hash do plugin oficial com o que você baixou. Use md5sum ou sha256sum no servidor. Se bater com o original, provavelmente está limpo; se não, desconfie.
E se você já tem um plugin contaminado?
Aja imediatamente: desative o plugin, remova do servidor, troque todas as senhas e revogue chaves de API. Execute um scanner como Wordfence CLI em modo de linha de comando, que é mais eficaz que a versão web. Depois, use WPScan para verificar se há backdoors restantes.
Conclusão: Vale a pena arriscar?
Não. Mesmo plugins GPL legítimos, quando baixados de fontes não oficiais, podem ser adulterados. Prefira sempre o repositório oficial do WordPress ou desenvolvedores confiáveis. Invista em um bom firewall de site (WAF) e mantenha backups seguros. A verdade nua e crua: se você não paga pelo produto, seu site pode ser o produto.