A Mentira dos Plugins GPL ‘Grátis’
Você baixou um plugin premium de um site que vende temas e plugins GPL por alguns dólares. Acha que economizou? Na verdade, você pode estar pagando com a segurança do seu site. A GPL permite redistribuição, mas os arquivos que você baixa desses repositórios piratas raramente são os originais. Eles são adulterados com backdoors, minadores de criptomoedas e scripts de roubo de dados.
O Mecanismo de Infecção
Criminosos usam engenharia reversa em plugins legítimos, injetam código malicioso em arquivos como wp-config.php ou functions.php e reempacotam como ‘GPL nulled’. O código malicioso muitas vezes está ofuscado em strings base64 ou eval(). Um exemplo clássico é o plugin Revolution Slider ‘nulled’ que cria um admin oculto e envia dados de login para um servidor remoto.
Como Detectar a Praga
Monitore mudanças em arquivos principais. Use um plugin de segurança como Wordfence e ative a verificação de integridade de arquivos. Compare os hashes dos arquivos do plugin com os do repositório oficial. Ferramentas como WPScan podem detectar vulnerabilidades conhecidas em versões nulled.
Proteção na Hospedagem
Escolha uma hospedagem que ofereça monitoramento de integridade de arquivos e firewall de aplicação web (WAF). Empresas como Kinsta e WP Engine escaneiam automaticamente plugins suspeitos. Evite hosts que permitem instalação de plugins nulled sem restrições.
A Verdade Nua e Crua
Não existe almoço grátis. Todo plugin GPL de fonte duvidosa é uma potencial porta dos fundos. Se você valoriza seu site, compre diretamente dos desenvolvedores ou use apenas repositórios oficiais do WordPress.org. Sua segurança não vale o ‘desconto’.