WordPress anuncia iniciativa para proteger todos os plugins e temas
WordPress anunciou uma nova iniciativa de segurança chamada Protect The Shire que visa proteger plugins e temas. O anúncio também disse que um atraso temporário de 24 horas será imposto antes que as atualizações de plugins e temas sejam distribuídas por meio de atualizações automáticas.
Atraso temporário de atualização de 24 horas
No passado, as atualizações de plug-ins e temas eram enviadas para usuários do WordPress de forma autônoma: um autor de tema ou plug-in atualizava seu software e o enviava imediatamente para seus usuários. Esse não é mais o caso por enquanto.
O WordPress está atrasando temporariamente as atualizações por 24 horas para ter tempo de verificar os plug-ins atualizados e garantir que estejam seguros antes de permitir que sejam enviados aos usuários do WordPress. O WordPress prevê que esse atraso se tornará, com o tempo, dramaticamente menor, de modo que será apenas uma questão de minutos.
Este novo passo está sendo dado à luz dos crescentes incidentes de ataques à cadeia de fornecimento de software, um cenário em que um hacker insere uma carga maliciosa em uma biblioteca de código aberto que é posteriormente distribuída para cada software, plug-in e tema que dela depende. Os hackers têm como alvo essas bibliotecas de códigos úteis porque elas são frequentemente mantidas por um único voluntário.
O WordPress descreve este momento como um “período liminar”, o que significa que o projeto está em um momento de transição, não fazendo as coisas da mesma forma que no passado, nem fazendo as coisas como pretende fazer no futuro próximo.
O anúncio do WordPress explica:
“Estamos em um período liminar agora e acredito que 2026 será um ano de tensão entre duas abordagens: atualizar o mais rápido possível para permanecer seguro e atrasar a atualização para permanecer seguro.
Vimos ataques inteligentes e perigosos à cadeia de suprimentos nos ecossistemas npm, PyPI, GitHub e RubyGems, e até tivemos nossa própria miniversão com o desastre dos Essential Plugins, onde bons plugins foram vendidos sem saber para um novo autor que tinha intenções maliciosas.
Como equilibrar atualizações de segurança e proteção de atualizações?”
Proteja a Iniciativa Shire
O WordPress também anunciou um esforço de segurança chamado Protect The Shire para tornar seguro todo o código nos diretórios e repositórios do WordPress.org.
O WordPress não descreveu detalhes técnicos específicos sobre como a iniciativa funcionará, apenas que melhorará a segurança em todo o seu ecossistema de plugins e temas. O anúncio diz ainda que o trabalho acontecerá nos bastidores, com sucesso medido por vulnerabilidades e ataques que nunca chegam aos usuários.
Automação de equipe de plug-ins WordPress
O WordPress vem usando ferramentas automatizadas para auxiliar nas revisões de plugins há algum tempo. Em janeiro de 2026, a equipe de plug-ins divulgou que seu scanner interno, usado para revisar envios de plug-ins, foi expandido com recursos assistidos por IA e dezenas de novas verificações automatizadas. De acordo com a equipe, o scanner ajuda a identificar possíveis problemas para revisores humanos investigarem e é usado para automatizar tarefas repetitivas.
A postagem do blog explica:
“Se há algo que vale a pena destacar este ano, é como a IA impactou o ecossistema de plug-ins do WordPress. Esse impacto é evidente tanto no número de envios enviados para revisão para publicação no diretório, quanto na forma como a equipe está implementando processos de análise baseados em IA para ajudar a fornecer fluxos de trabalho aprimorados com um certo nível de automação.
…O scanner interno é a ferramenta interna que a equipe usa para revisar plugins. Ele procura centenas de possíveis problemas que os revisores confirmam ou descartam ao criar um relatório. Como parte das melhorias nesta ferramenta central para nossas revisões diárias de plugins, trabalhamos na redução do tempo de revisão, especialmente para processos altamente repetitivos e demorados, como:
- Verificando se o nome do plugin não entra em conflito com plugins publicados existentes.
- Garantir que a marca seja usada corretamente e esteja em conformidade com as diretrizes.
- Verificando a propriedade do plugin.”
A resposta nas redes sociais é positiva
A resposta nas redes sociais foi amplamente positiva.
@Usmank11 tuitou:
“24 horas parece um bom tempo, especialmente para pequenos desenvolvedores. Espero que não esqueçamos nossos lançamentos após 24 horas do lançamento ao público.”
@enqueue_russ fez uma pergunta sobre como isso seria cronometrado com e-mails enviados por plugins:
“Estou curioso para saber como isso mudará a estratégia de marketing de muitos plug-ins freemium. Talvez eles não consigam mais sincronizar e-mails com lançamentos em .org.”
Outros concordaram que esta foi uma boa decisão e concordaram que seria bom para melhorar a segurança do ecossistema WordPress, embora algumas pessoas tivessem preocupações.
@adampreiser tuitou:
“Sou o único pensando que isso também criará alguns problemas?
E se houver uma correção urgente de bug? Bem, você tem que esperar 24 horas.
E se houver uma versão pro que precise estar disponível ao mesmo tempo? Boa sorte no momento certo.
Provavelmente outros problemas.”
@themergency respondeu com um gif animado de Gandalf “Você não passará”, expressando seu apoio:
“Eu apoio o Protect The Shire!
Um pedido dos desenvolvedores de plugins: abra uma maneira de integrar varreduras pré-commit SVN estilo Gandalf-AI em fluxos de trabalho de desenvolvimento.”
Revisar atualizações de plug-ins, uma ótima ideia
A segurança do WordPress tem sido uma das coisas que preocupa muitos usuários. O enorme tamanho da base de usuários do WordPress torna os plug-ins e temas do WordPress um alvo maior para hackers, embora o próprio núcleo do WordPress tenha um histórico fantástico de segurança. Isso deixará os usuários mais confiantes no WordPress e provavelmente reconquistará alguns usuários que se preocupam com a segurança.
Imagem em destaque da Shutterstock/GreenTech
