Você Confia Cegamente no Plugin GPL de Backup? Um Alerta Técnico e Crucial
Se você administra sites WordPress, provavelmente já ouviu o mantra: “faça backups regularmente”. E nada mais prático que um plugin como UpdraftPlus Premium, certo? Mas quando você opta pela versão GPL – aquela baixada de repositórios não oficiais ou “nulled” – o barato pode sair caro. A verdade é que muitas dessas versões contêm código malicioso oculto, transformando seu salvador de backups em uma porta dos fundos para invasores.
O Problema Invisível nos Plugins GPL “Modificados”
Plugins GPL de alto nível, como o UpdraftPlus Premium, têm versões licenciadas oficiais que passam por rigorosos processos de segurança. Porém, as versões GPL disponíveis em sites de terceiros frequentemente são adulteradas. Hackers injetam backdoors em arquivos-chave, como class-updraftplus.php ou admin.php, permitindo execução remota de comandos. Esses backdoors podem: criar usuários administradores ocultos, enviar dados do banco de dados para servidores externos ou até mesmo instalar malwares em todos os arquivos do site.
O Cenário Real: Seu Próprio Backup Contra Você
Imagine: seu site é invadido, e você não sabe. O plugin GPL de backup continua rodando, copiando todo o seu conteúdo – incluindo as vulnerabilidades – para o armazenamento remoto. Quando você tenta restaurar, está reinstalando o malware. Pior: códigos ofuscados podem ativar ações apenas quando detectam uma data específica ou IP, dificultando a detecção por scanners tradicionais. Ferramentas como WordPress Security Scanner ou WPScan podem não encontrar nada, pois o backdoor se disfarça como funcionalidade legítima do plugin.
Como Identificar um Plugin GPL Comprometido (Na Prática)
Se você insiste em usar versões GPL (e não recomendo), ao menos realize estas verificações manuais:
– Compare o hash MD5 dos arquivos do plugin com a versão oficial (disponível no changelog oficial). Qualquer diferença é suspeita.
– Revise o arquivo wp-content/plugins/updraftplus/readme.txt: versões oficiais têm dados consistentes; versões adulteradas frequentemente contêm links externos ou créditos estranhos.
– Monitore o tráfego de rede gerado pelo plugin. Um plugin de backup legítimo se comunica com serviços como Dropbox ou Google Drive. Se você notar conexões com IPs desconhecidos (por exemplo, da Rússia ou China), é um sinal vermelho.
Alternativas Seguras (Sem Gastar uma Fortuna)
Você não precisa de um plugin GPL arriscado. Opções gratuitas e seguras incluem:
– UpdraftPlus (versão gratuita oficial): já oferece backup para Google Drive, Dropbox e outros, sem custo e com suporte da comunidade.
– BackWPup: gratuito, open-source e com verificações de integridade.
– BackupWordPress: simples, direto e sem truques.
Se você realmente precisa de funcionalidades premium, invista na licença oficial (cerca de US$ 70/ano) – o custo é insignificante comparado ao prejuízo de um ataque.
Ação Imediata: Revise Seus Plugins Agora
Não espere o ataque acontecer. Acesse seu painel WordPress e verifique a origem de cada plugin. Se você baixou o UpdraftPlus Premium de um site que não seja o oficial (updraftplus.com), há grande chance de contaminação. Substitua-o imediatamente pela versão gratuita ou por uma alternativa confiável. Lembre-se: segurança não é um extra; é a base do seu negócio online.