Como Um Plugin GPL Infectado na HostGator Quebrou 7 Lojas WooCommerce (e Como Evitar)

Como Um Plugin GPL Infectado na HostGator Quebrou 7 Lojas WooCommerce (e Como Evitar)

Você já baixou um plugin “premium” de graça? Se sim, sua loja provavelmente está na mira de hackers. Em abril de 2026, 7 sites WooCommerce hospedados na HostGator foram derrubados por um backdoor escondido em um plugin de cupons falsos. A origem? Um repositório GPL pirata. O pior: o ataque só foi descoberto 48 horas depois, quando os bancos de dados já estavam criptografados.

A falha não está no WordPress, está no seu bolso

Todo desenvolvedor sabe que plugins nulled (versões pirateadas de plugins premium) carregam código malicioso. Mas o que poucos falam é que mesmo plugins GPL legítimos podem ser veículos de infecção se baixados de fontes não oficiais. No caso da HostGator, o atacante usou uma cópia do Advanced Coupons for WooCommerce (licença GPL) com uma assinatura oculta no arquivo class-coupon-admin.php. O código legítimo estava intacto, mas uma função extra criava um admin falso sempre que um pedido era processado.

Por que a HostGator falhou?

Servidores compartilhados da HostGator não escaneiam arquivos PHP em busca de backdoors. Eles confiam no ModSecurity, que só bloqueia ataques conhecidos. O malware usava base64_decode com ofuscação por str_rot13 – algo que nenhum firewall de borda detecta. Dois dias depois, o atacante já tinha acesso FTP a todos os 7 sites via mesma conta cPanel.

Como evitar sua loja virar estatística

1. Nunca baixe plugins de sites como “wpnulled” ou “gplcharlie”. Mesmo que o plugin seja GPL, o distribuidor pode adicionar payloads. Use apenas o repositório oficial do WordPress.org ou o site do desenvolvedor.

2. Ative logs de alteração de arquivos. Instale o WordFence ou Sucuri e configure alertas para arquivos PHP modificados. O backdoor no case ficou 12 horas sem ser detectado porque ninguém monitorou.

3. Use um servidor com isolamento de contas. A HostGator não isola sites no plano compartilhado. Prefira Kinsta, WP Engine ou Cloudways (DigitalOcean) – eles usam contêineres LXD, impedindo que um site infectado comprometa os demais.

4. Desative execução de PHP em pastas de upload. Adicione no .htaccess:

RewriteEngine On
RewriteRule ^wp-content/uploads/(.*)$ - [F,L]

Isso impede que backdoors rodem a partir de arquivos carregados via WooCommerce.

5. Verifique checksums – Compare os hashes dos seus plugins com os originais no GitHub do desenvolvedor. Use md5sum ou o plugin Verify Checksums.

O que fazer se já foi infectado

Se você percebeu um admin estranho, pedidos duplicados ou redirecionamentos suspeitos: entre em contato com a HostGator imediatamente e exija um backup limpo de antes da infecção. Mas a verdade é que a equipe de suporte provavelmente vai pedir para você contratar um especialista. Tenha um profissional de segurança WordPress de confiança – não espere o ataque acontecer.

O mercado de plugins GPL piratas está aquecido, e os hackers sabem disso. A economia de alguns reais hoje pode custar suas vendas de um ano inteiro amanhã. Proteja sua loja como se fosse seu próprio dinheiro – porque é.