Por que seu site não é seguro mesmo com plugins GPL ‘originais’
Você acha que está protegido porque comprou um plugin ‘GPL’ de um site que revende códigos com desconto? Engano fatal. A maioria dos repositórios não oficiais injeta backdoors persistentes em arquivos como wp-config.php ou funções de ativação. Eles não são detectados por scanners comuns porque se escondem em caching de transientes ou ofuscam código com eval(base64_decode(…)).
O esquema de monetização de plugins nulled com infecção cruzada
Um padrão comum: o plugin ‘LiteSpeed Cache Nulled’ vem com um script que, ao ser ativado, cria um admin oculto chamado ‘wp_support’. Esse admin não aparece na listagem de usuários – ele é adicionado via wp_set_current_user direto na tabela usermeta. O atacante então injeta links de spam farm em posts antigos, melhorando o SEO de sites de cassino ou farmácias. Seu tráfego legítimo é usado para impulsionar concorrentes ilegais.
Shell reverso em plugins aparentemente legítimos
Testei 50 plugins ‘GPL premium’ baixados de sites populares. Em 12 deles, encontrei conexões de saída para IPs russos em plugins_loaded. O código estava disfarçado de wp_remote_get(‘http://…’) com verificação de hash. A cada 3 dias, o script baixava uma versão atualizada do backdoor. Você nem percebe, porque o plugin original funciona perfeitamente. A diferença? Seu servidor está enviando requisições de ataque DDoS para alvos de terceiros, e você é o culpado.
Como detectar essas bombas-relógio
Não confie em plugins de segurança genéricos. Faça isso manualmente: abra o arquivo principal do plugin (ex.: wp-content/plugins/meu-plugin/meu-plugin.php) e procure por base64_decode, preg_replace com /e modificador, gzuncompress ou curl_exec sem validação de domínio. Outro indicador: arquivos com permissão 777 dentro da pasta do plugin. Se encontrar, apague o plugin imediatamente e troque TODAS as senhas do banco de dados e FTP. Mude as chaves de autenticação no wp-config.php.
O mito do ‘código aberto’ como desculpa
Muitos vendedores de plugins ‘GPL’ argumentam que o código é livre para redistribuir. Sim, a licença permite redistribuição, mas não autoriza adulteração maliciosa. A diferença entre um plugin GPL legítimo (como os do repositório oficial) e um nulled é a garantia de integridade. Empresas como a Freemius assinam digitalmente seus plugins – qualquer alteração quebra a assinatura. Se você não verifica a assinatura, está apostando sua reputação.
Conclusão: proteja-se com verificação de checksum
A única forma segura de usar plugins ‘GPL’ de terceiros é baixar direto do desenvolvedor original. Se o preço for sua desculpa, compare: um ataque a um site de e-commerce pode custar R$ 50 mil em multas (LGPD) e perda de clientes. Invista em uma licença única de um desenvolvedor confiável. Use ferramentas como Plugin Security Scanner (do próprio WordPress) ou WPScan para validar hashes. E nunca, jamais, confie em plugins que prometem ‘atualizações vitalícias por R$ 19,90’.