O WordPress alimenta quase metade da web, tornando-se a plataforma mais direcionada da internet. Em 2025, o cenário das ameaças mudou de maneiras que tornaram a maioria das estratégias convencionais de segurança insuficientes. A contagem de vulnerabilidades aumentou drasticamente, os prazos de exploração colapsaram para horas, e atacantes lançaram malwares cada vez mais sofisticados, projetados para sobreviver a tentativas de limpeza.
Esta visão geral se baseia em dados de segurança de 2025 para ajudar os proprietários de sites WordPress e WooCommerce a entenderem os riscos reais que seus sites enfrentam e as medidas práticas que podem tomar para fechar essas lacunas.
Pesquisadores de segurança identificaram 11.334 novas vulnerabilidades em todo o ecossistema WordPress em 2025, um aumento de 42% em relação ao ano anterior. Dessas, 4.124 foram graves o suficiente para exigir mitigação ativa, e 1.966 apresentaram alta severidade, indicando uma forte probabilidade de exploração automatizada em larga escala.
Para colocar isso em perspectiva, mais vulnerabilidades de alta gravidade foram descobertas no WordPress em 2025 do que nos dois anos anteriores juntos. Isso não é uma tendência gradual. Isso representa uma aceleração significativa na atenção dos atacantes para o ecossistema WordPress.
Os plugins representaram 91% de todas as vulnerabilidades recém-reportadas. Os temas compunham os 9% restantes. O próprio núcleo do WordPress relatou apenas seis problemas, todos de baixa prioridade.
Essa distribuição reforça uma realidade simples: o software central não é o problema. O risco está nos componentes de terceiros sobrepostos a ele, e a maioria dos sites WordPress roda dezenas deles.
Não. Componentes premium frequentemente apresentam um ponto cego mais perigoso do que seus equivalentes gratuitos.
Pesquisadores de segurança realizaram uma análise focada dos componentes premium do marketplace, incluindo aqueles distribuídos pela Envato. Os achados foram significativos:
O motivo não é que plugins premium sejam construídos de forma mais descuidada. Isso ocorre porque pesquisadores de segurança têm acesso limitado a softwares pagos, então menos olhares estão revisando o código. Menor fiscalização não significa menor risco. Isso significa menor consciência sobre riscos existentes.
Apenas 54%. Em 2025, 46% das vulnerabilidades relatadas não foram corrigidas pelo desenvolvedor do plugin antes da divulgação pública. Isso significa que os detalhes das vulnerabilidades se tornaram públicos e, em muitos casos, estavam imediatamente disponíveis para atacantes antes que os patches fossem disponibilizados para os proprietários do site.
Depender das atualizações de plugins como medida principal de segurança geralmente é insuficiente, já que quase metade das vulnerabilidades divulgadas não possui patch disponível.
Mais rápido do que a maioria dos cronogramas de atualizações permite. Para as vulnerabilidades mais alvoadas, o tempo mediano ponderado entre a divulgação pública e a exploração ativa foi de cinco horas.
Aproximadamente metade de todas as vulnerabilidades de alto impacto estavam sendo exploradas dentro de 24 horas após a divulgação. Essa janela cobre um período em que a maioria dos administradores do site desconhece o problema ou ainda não teve a oportunidade de aplicar um patch disponível.
As primeiras 24 horas após uma divulgação de vulnerabilidade normalmente representam a janela de maior risco para um site WordPress. Sem mitigação automatizada, a maioria dos locais fica exposta exatamente nesse período.
O Controle de Acesso Quebrado liderou a lista de categorias de vulnerabilidades exploradas em 2025. Essa categoria é particularmente difícil de se defender porque os ataques imitam o comportamento normal do usuário autenticado. Não há cadeias de injeção óbvias ou requisições mal formadas para um firewall tradicional de aplicação web detectar.
Outras classes de vulnerabilidades fortemente exploradas incluíam:
Plugins relacionados ao WooCommerce apareceram entre os dez mais alvos, incluindo uma vulnerabilidade de escalonamento de privilégios do WooCommerce Payments de 2023 que ainda era ativamente direcionada contra instalações não corrigidas.
Não é eficaz o suficiente. Testes de penetração realizados em múltiplos provedores de hospedagem em 2025 descobriram que configurações defensivas padrão, incluindo WAFs internos e Cloudflare, bloquearam apenas 26% das tentativas de exploração de vulnerabilidades do WordPress. Especificamente, contra vulnerabilidades exploradas conhecidas, a taxa de bloqueio caiu para 12%.
O desempenho variava significativamente entre os ambientes hosting, principalmente devido à configuração das regras internas do WAF. Regras WAF genéricas têm desempenho razoavelmente bom contra ataques não específicos do WordPress, mas são mal adaptadas às classes de vulnerabilidades específicas do WordPress, que explicam a maior parte das atividades de exploração no mundo real.
O comportamento pós-concessão em 2025 tornou-se mais sofisticado e difícil de remediar. A análise de bilhões de infecções por malware na infraestrutura global de hospedagem revelou mudanças claras na forma como os atacantes operam ao acessar um site.
Atacantes estão cada vez mais preferindo arquivos injetados em vez de arquivos maliciosos independentes. Um arquivo injetado é um arquivo core legítimo do WordPress, arquivo de plugin ou arquivo de tema que foi modificado para conter código malicioso. Como o arquivo base é legítimo, as ferramentas de escaneamento baseadas em exclusão o sinalizam de forma inconsistente ou o ignoram completamente.
Remover malware injetado requer identificar e limpar cirurgicamente o fragmento malicioso de um arquivo válido. Deletar o arquivo em si quebra o site. Essa distinção está forçando uma mudança significativa na forma como as ferramentas de remediação precisam operar.
Sim. A atividade maliciosa de upload de arquivos quase triplicou em novembro e dezembro de 2025. Esse aumento não é coincidência. O quarto trimestre combina o pico de tráfego dos consumidores com a redução do quadro de pessoal de TI, criando um ambiente onde os atacantes podem operar com menos chance de detecção ou resposta imediata. Os proprietários de lojas WooCommerce que realizam promoções ativas de feriado operam na janela de maior risco do ano, muitas vezes com os menos recursos internos disponíveis para responder.
As campanhas de malware mais comuns compartilhavam um objetivo comum de design: evitar a detecção pelo maior tempo possível. Três padrões de evasão foram particularmente comuns.
Entrega Seletiva de Conteúdo
Campanhas, incluindo spam de SEO japonês, jgalls e Parrot TDS, servem conteúdos diferentes dependendo de quem faz o pedido. Rastreadores de mecanismos de busca recebem spam cheio de palavras-chave para manipular os rankings. Visitantes humanos são redirecionados para páginas de phishing ou lojas fraudulentas. Proprietários de sites e scanners normalmente veem conteúdo limpo. A infecção permanece invisível até que os clientes comecem a reclamar ou o tráfego de busca orgânica colapse.
O Parrot TDS expandiu essa técnica ainda mais em 2025 ao detectar rastreadores de treinamento de IA, incluindo os da OpenAI e Google. Conteúdo limpo é servido aos rastreadores enquanto redirecionamentos maliciosos continuam a redirecionar visitantes humanos, tornando a detecção por auditoria automatizada ainda menos confiável.
Persistência Residente da Memória
A família de malware Lock360 executa código malicioso diretamente na memória do servidor, em vez de armazená-lo em arquivos. Quando um administrador limpa um arquivo infectado, como index.php ou .htaccess, o processo residente na memória imediatamente reescreve o código malicioso de volta nele. As equipes de suporte frequentemente se veem em um ciclo contínuo de limpeza e reinfecção até que o processo de memória subjacente seja encerrado, algo que a maioria das ferramentas de varredura padrão não está preparada para lidar.
Expansão da Infraestrutura Uploader
A atividade de roteiros dos uploaders quase dobrou de volume durante junho de 2025 e permaneceu elevada até o final do ano. Uploaders são ferramentas que permitem aos atacantes implantar cargas adicionais para um site comprometido à vontade. O aumento sustentado deles sinaliza uma mudança estratégica em direção ao acesso persistente, em vez de uma exploração pontual. Um local limpo de uma infecção pode ser reinfectado por meio de um uploader dormente que sobreviveu à limpeza.
Várias tendências estão convergindo para fazer Segurança do WordPress mais complexo, não menos.
O desenvolvimento assistido por IA está acelerando a produção de plugins personalizados. As agências estão gerando funcionalidades de plugins sob demanda e implantando front-ends gerados por IA construídos com React enquanto usam o WordPress como CMS backend. Isso expande a superfície de ataque muito além do escopo tradicional de núcleos, plugins e temas. Componentes personalizados, pacotes JavaScript e dependências do PHP introduzem exposição à segurança que as ferramentas padrão de escaneamento do WordPress não foram projetadas para avaliar.
Ao mesmo tempo, a IA está reduzindo a barreira para que atacantes descubram e explorem vulnerabilidades de forma autônoma. As mesmas ferramentas usadas para construir sites mais rápido também são usadas para encontrar e explorar vulnerabilidades neles.
No lado regulatório, a Lei de Resiliência Cibernética da UE está pressionando fornecedores comerciais de plugins WordPress a estabelecerem programas formais de divulgação de vulnerabilidades como requisito legal para distribuir software para usuários europeus. A maioria dos desenvolvedores de plugins atualmente não possui recursos internos para gerenciar grandes volumes de relatórios de segurança recebidos. Essa lacuna criará atrito entre a identificação de vulnerabilidades e a disponibilidade de patches, um período que já acarreta riscos significativos com base nos dados de exploração de 2025.
Os dados de 2025 deixam várias coisas claras para qualquer pessoa que administre uma loja WooCommerce.
Os fundamentos da segurança do WordPress não mudaram: manter o software atualizado, limitar a expansão de plugins e usar credenciais fortes. O que mudou é que essas medidas não são mais suficientes por si só.
Os prazos de exploração foram comprimidos para horas. Malware foi projetado para sobreviver à limpeza padrão. Plugins premium têm risco oculto. E a superfície de ataque de um site WordPress típico está se expandindo à medida que componentes gerados por IA entram na pilha.
A segurança eficaz do WordPress em 2026 exige mitigação automatizada de vulnerabilidades que ative nas primeiras horas após a divulgação, detecção de malware em nível de servidor capaz de identificar código injetado e ameaças residentes na memória, e visibilidade clara de cada componente rodando no site, seja instalado pelo painel de administração ou gerado por meio de desenvolvimento personalizado.
Locais que tratam a segurança como um processo proativo e contínuo estarão significativamente melhor posicionados do que aqueles que dependem de limpezas periódicas após algo dar errado.
