O Perigo dos Arquivos Expostos em Plugins GPL
Você instalou um plugin premium GPL e acha que está seguro? A verdade é que qualquer visitante pode baixar o código-fonte completo se souber o caminho. A maioria dos hosts não bloqueia acesso direto a /wp-content/plugins/. Isso expõe sua lógica de negócio, credenciais e backdoors escondidos.
Como Funciona a Clonagem de Plugins
Ferramentas como wget ou curl podem baixar recursivamente seu diretório de plugins. Empresas de segurança estimam que 40% dos sites com plugins GPL têm pelo menos um arquivo acessível publicamente. O pior: isso facilita que concorrentes repliquem seu diferencial.
Bloqueio Agressivo com Mod_Rewrite
Vá além do .htaccess básico. Crie uma regra que nega acesso a todos os arquivos .php, .txt, .log e .json dentro de plugins, exceto via requisições internas do WordPress. Exemplo:
RewriteRule ^wp-content/plugins/.*\.(php|txt|log|json)$ - [F,L]
Isso gera erro 403 para qualquer tentativa externa. Mas cuidado: pode quebrar funcionalidades que dependem de chamadas AJAX. Solução: adicione exceções para arquivos específicos ou use RewriteCond %{REQUEST_URI} !ajax.
Identificando Pontos Fracos no Seu Tema
Muitos temas incluem plugins embutidos que também ficam expostos. Faça um scan com wpscan ou manualmente: acesse /wp-content/plugins/nome-do-plugin/readme.txt. Se carregar, você está vulnerável.
Estratégia de Hospedagem: Isolamento de Arquivos
Em servidores dedicados ou VPS, mova plugins para fora do diretório web. Use define('WP_PLUGIN_DIR', '/outside/webroot/plugins'); no wp-config. Configure o servidor web para servir apenas via PHP, nunca como arquivo estático.
Cache e Plugins de Segurança: Ilusão de Proteção
Plugins como Wordfence e Sucuri não bloqueiam acesso direto a arquivos. Eles focam em tráfego web, não em requisições diretas. A única barreira real é no nível do servidor (Apache/Nginx).
Teste Sua Segurança Agora
Use ferramentas como dirsearch ou navegador anônimo para acessar /wp-content/plugins/. Se vir lista de diretórios, você tem um problema. Se não, mas um arquivo específico carrega, ainda está exposto.
Não confie em clones GPL de terceiros: eles costumam ter backdoors. Compre de fontes oficiais e blinde seu servidor. A privacidade do seu código é a linha de frente da competitividade digital.