Por que plugins GPL ‘nulos’ são ameaças persistentes mesmo após remoção
A engenharia reversa de plugins GPL é um negócio lucrativo no submundo digital. Sites que baixam versões nulled de plugins premium, mesmo após removê-los, frequentemente permanecem comprometidos. A razão é técnica: backdoors injetados em locais não convencionais, como arquivos de cache, logs de erro ou até mesmo na base de dados, sobrevivem à desinstalação do plugin.
O mecanismo de persistência
Versões nulled de plugins como Elementor Pro, WooCommerce Subscriptions ou Yoast SEO Premium geralmente incluem um código que, ao ser ativado, escreve um arquivo “seguro” na pasta wp-content/uploads/ ou em um diretório temporário. Esse arquivo contém um pequeno script PHP que é incluído via auto_prepend_file no .user.ini ou .htaccess. Quando o plugin é removido, o arquivo continua lá, reinfectando o site a cada requisição.
Backdoors na base de dados
Outra técnica comum é a injeção de um registro na tabela wp_options (como cron_job mascarado) que executa um script toda vez que o cron do WordPress roda. Mesmo após deletar o plugin, o cron job persiste e pode baixar novamente o plugin malicioso ou executar comandos remotos.
O papel da hospedagem
Hospedagens compartilhadas baratas são o prato cheio para essas infecções, pois geralmente não possuem ferramentas de detecção de backdoors em arquivos ou varreduras em tempo real. O cliente só descobre o problema quando o site é penalizado pelo Google ou começa a enviar spam. A remediação completa exige restaurar um backup anterior à primeira instalação do plugin nulled, ou uma limpeza manual profunda.
Como detectar e eliminar
Para identificar a persistência, verifique os arquivos .htaccess, .user.ini, wp-config.php e diretórios como wp-content/uploads e wp-content/cache em busca de includes suspeitos. Use plugins de segurança como Wordfence ou Sucuri para escanear toda a estrutura. No banco de dados, procure por opções com nomes aleatórios e tarefas agendadas (cron jobs) que chamam URLs externas. A verdade é que, uma vez infectado, nenhum plugin GPL nulled é seguro – a única garantia é usar fontes oficiais e manter backups regulares.