Relatório mostra que sites WordPress estão sendo invadidos mais rapidamente

Relatório mostra que sites WordPress estão sendo invadidos mais rapidamente


Um novo relatório sobre o estado da segurança do WordPress chamou a atenção para a ameaça oculta representada pelos plug-ins premium e para o fato de que os hackers estão explorando cada vez mais vulnerabilidades antes que muitos sites possam corrigi-las.

A segurança é cada vez mais uma corrida contra o tempo

O relatório State of WordPress Security da empresa de segurança Patchstack WordPress mostra que os hackers estão explorando a lacuna entre o momento em que uma vulnerabilidade é descoberta e um site consegue corrigi-la. A suposição tradicional é que os proprietários de sites têm tempo para avaliar, corrigir e implantar correções, mas isso não é mais o caso.

O cronograma entre a descoberta e a correção do site está sendo comprimido por uma exploração mais rápida, às vezes quase imediatamente após a divulgação. Os processos defensivos que dependem de correções oportunas tornam-se uma corrida contra o tempo quando a exploração começa em poucas horas.

O relatório Patchstack explica:

“Ao analisar a velocidade com que os invasores transformam novas vulnerabilidades em armas, descobrimos que aproximadamente metade das vulnerabilidades de alto impacto são exploradas em 24 horas.

Quando contabilizamos a intensidade da exploração (por ponderação com base na atividade observada), o tempo médio ponderado para a primeira exploração é de 5 horas. Isso sugere que as vulnerabilidades mais visadas são normalmente atacadas em horas, não em dias.”

Os proprietários de sites devem integrar esse conhecimento em seu fluxo de trabalho de segurança para minimizar o tempo entre o recebimento do aviso de uma vulnerabilidade e a correção dela.

A escala de exposição está se expandindo

O volume de vulnerabilidades divulgadas aumentou acentuadamente em 2025. A maioria dessas vulnerabilidades foi encontrada em plug-ins, e não no núcleo do WordPress, colocando a maior parte da exposição na camada de extensão mantida por milhares de desenvolvedores independentes.

Ao mesmo tempo, o relatório identifica pressões adicionais que afetam a segurança do WordPress:

  • Visibilidade limitada dos componentes premium do mercado
  • Cronogramas de exploração rápidos após a divulgação
  • Comportamento de ataque persistente e em vários estágios após comprometimento

Uma camada de aplicativo em expansão que inclui bibliotecas ou pacotes de software de terceiros e com código personalizado (como componentes JavaScript ou PHP)

O relatório explica:

“No geral, 11.334 novas vulnerabilidades foram encontradas no ecossistema WordPress em 2025 – um aumento de 42% em comparação com 2024.

De todas as novas vulnerabilidades encontradas, 4.124 (36%) representavam uma ameaça real e eram suficientemente graves para exigir regras de proteção RapidMitigate.

1.966 (17%) vulnerabilidades tiveram uma pontuação de gravidade alta, o que significa que provavelmente seriam exploradas em ataques automatizados em grande escala.

Na verdade, foram descobertas mais vulnerabilidades de alta gravidade no ecossistema WordPress em 2025 do que nos dois anos anteriores combinados. Este aumento veio em grande parte de componentes premium em mercados como o Envato e destaca o problema de visibilidade de segurança de tais componentes e mercado. Como esses componentes não estão prontamente disponíveis para os pesquisadores de segurança, é mais difícil encontrar problemas de segurança neles.”

As descobertas mostram que o risco está distribuído tanto no ecossistema de plug-ins gratuitos quanto nos componentes premium do mercado, onde a visibilidade limitada tornou as falhas mais difíceis de detectar.

Componentes Premium apresentam altas taxas de exploração

Plug-ins e temas de mercado premium geralmente recebem menos escrutínio independente devido ao acesso limitado ao código. Mas menos vulnerabilidades descobertas não significa necessariamente menor risco. Os dados do Patchstack mostram que uma alta porcentagem de vulnerabilidades encontradas em plugins e temas premium podem ser exploradas em ataques do mundo real.

Patchstack explica:

“Para entender o cenário de ameaças de plug-ins e temas premium, no ano passado conduzimos uma pesquisa focada em mercados premium, como o Envato.

No geral, recebemos 1.983 relatórios de vulnerabilidade válidos para componentes Premium ou freemium, representando 29% do total de relatórios.

59% delas eram vulnerabilidades de alta prioridade do Patchstack que podem ser usadas em ataques automatizados em massa.

Outros 17% tinham prioridade média de Patchstack, o que significa que podem ser explorados em ataques mais direcionados.

Isso significa que 76% das vulnerabilidades encontradas nos componentes Premium podem ser exploradas em ataques reais.

Além disso, nosso programa Zero Day encontrou 33 vulnerabilidades altamente críticas em componentes Premium, em comparação com apenas 12 em componentes gratuitos.”

A conclusão é que uma alta porcentagem de vulnerabilidades encontradas em componentes premium podem ser exploradas em ataques no mundo real.

Atrasos na disponibilidade do patch

As atualizações de software são a base da segurança de plugins e temas do WordPress, mas dependem da disponibilidade de correções quando vulnerabilidades são divulgadas, o que nem sempre é o caso. Atrasos nos patches deixam os proprietários de sites expostos durante o período em que o interesse de exploração é maior.

Patchstack compartilha que os desenvolvedores de plugins e temas não conseguiram fornecer uma correção oportuna para 46% das vulnerabilidades.

As defesas de infraestrutura bloqueiam apenas uma minoria de ataques

Os provedores de hospedagem contam com firewalls de aplicativos da web e defesas semelhantes, mas os testes mostraram que essas medidas bloquearam apenas uma minoria dos ataques de vulnerabilidade do WordPress.

Patchstack compartilha os resultados de seus testes:

“Em um teste em larga escala de empresas populares de hospedagem na web, apenas 26% de todos os ataques de vulnerabilidade foram bloqueados.”

Vulnerabilidades mais antigas permanecem alvos ativos

Uma descoberta surpreendente é que os invasores continuam a explorar vulnerabilidades mais antigas. Patchstack compartilha que apenas quatro das dez vulnerabilidades mais visadas foram publicadas em 2025, o restante era mais antigo.

“Ao analisar as dez principais vulnerabilidades que foram mais visadas pelos invasores, vemos que apenas quatro foram publicadas em 2025.”

Eles listam as seguintes versões mais antigas de plug-ins que os sites não atualizaram para versões seguras:

  • Plug-in de cache WordPress LiteSpeed ​​<= 5.7 (2024)
  • Plug-in do WordPress tagDiv Composer <4.2 (2023)
  • Plug-in de complementos Elementor WordPress pronto para usar <= 1.7.13 (2024)
  • Plug-in WordPress GiveWP <= 3.14.1 (2024)
  • Plug-in de cache WordPress LiteSpeed ​​<= 6.3.0.1 (2024)
  • Plug-in de pagamentos WordPress WooCommerce <= 5.6.1 (2023)

Atividade pós-compromisso enfatiza a persistência

Depois que o acesso é obtido, os invasores procuram cada vez mais manter o acesso após o comprometimento inicial, em vez de implantar cargas únicas.

Patchstack explica:

“Esse aumento sustentado sugere que os invasores estão indo além de compromissos oportunistas e pontuais. Em vez disso, estão investindo em infraestrutura persistente, implantando uploaders que permitem ataques em vários estágios e acesso de longo prazo a sites comprometidos.

Infraestrutura persistente significa que os invasores não estão apenas explorando as vulnerabilidades uma vez e seguindo em frente. Eles estão estabelecendo pontos de apoio que lhes permitem retornar, implantar cargas adicionais e manter o acesso mesmo depois que as infecções iniciais forem limpas.”

O malware moderno frequentemente se incorpora em arquivos legítimos ou usa técnicas de tempo de execução para evitar a detecção. Isso torna a limpeza mais difícil do que simplesmente excluir arquivos obviamente maliciosos.

A perspectiva para 2026

Patchstack projeta que o código que executa sites WordPress continuará se expandindo além dos componentes empacotados tradicionais. A proteção de ambientes WordPress agora requer a contabilização de códigos que residem fora das distribuições padrão de plugins e temas.

A superfície de ataque em expansão inclui funcionalidades personalizadas, código de terceiros adicionado por meio de componentes JavaScript ou PHP e código gerado por IA, todos os quais podem não passar pelos canais normais de atualização de plug-ins ou temas. A superfície de ataque em expansão inclui:

  • Plug-ins com código personalizado desenvolvidos para sites ou agências individuais
  • Pacotes JavaScript e PHP inseridos em projetos como dependências
  • Código gerado por IA usado para criar recursos ou front-ends inteiros

Proteger o WordPress agora requer visibilidade de componentes gerados e codificados de forma personalizada, não apenas plug-ins e temas instalados.

Imagem em destaque da Shutterstock/Kues



Source link

Postagens Similares

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *