Hackers Usam Falso Plugin do WordPress para Manter Controle Total do Site

Image by Souvik Banerjee, from Unsplash

Hackers Usam Falso Plugin do WordPress para Manter Controle Total do Site

Tempo de leitura: 2 minuto

Última atualização: Sep 30, 2025

Pesquisadores descobriram que hackers estão explorando sites WordPress através de backdoors ocultos, ganhando controle total, mesmo quando os proprietários dos sites tentam removê-los.

Está com pressa? Aqui estão os fatos rápidos:

  • Um plugin falso chamado DebugMaster Pro criou secretamente contas de administrador.
  • O malware enviou detalhes de login roubados para um servidor controlado por hackers.
  • Scripts maliciosos foram injetados em sites, também registrando endereços IP do administrador.

Uma recente investigação realizada pela Sucuri descobriu que dois arquivos com conteúdo malicioso estavam disfarçados como componentes normais do sistema WordPress. Um era um falso plugin chamado “DebugMaster Pro” (./wp-content/plugins/DebugMaster/DebugMaster.php). O outro se passava por um arquivo central (./wp-user.php).

Ambos foram projetados para garantir que os invasores sempre tivessem uma conta de administrador no site. O arquivo DebugMaster continha um código avançado, pois criava uma conta de usuário administrador secreta. O DebugMaster também permanecia invisível nas listas de plugins enquanto enviava informações de login roubadas para um servidor remoto.

Como o relatório explicou: “Este código força o WordPress a criar um novo usuário chamado help com a função de administrador. Se o usuário já existir, o script garante que ele tenha os privilégios de administrador restaurados.”

Os detalhes roubados, incluindo nome de usuário e senha, foram codificados e enviados para um site controlado por hackers. O malware executou scripts prejudiciais no site durante sua operação para localizar os endereços IP dos administradores do site.

O arquivo wp-user.php apresentou uma situação direta, porém preocupante. O sistema manteve uma conta de administrador chamada “help” que usava uma senha fixa. Mesmo que o proprietário do site excluísse esta conta, o arquivo a recriaria instantaneamente.

Os pesquisadores explicaram que os sinais de alerta desta infecção incluem arquivos estranhos como ‘DebugMaster.php’ ou ‘wp-user.php’, novas contas de administrador ou ocultas, e contas excluídas que voltam.

A solução para este problema envolve a remoção de arquivos prejudiciais e contas suspeitas. Também é aconselhado aos usuários que redefinam todas as senhas e atualizem o WordPress, plugins e verifiquem os logs do servidor para conexões incomuns.

Pesquisadoras afirmaram que os dois arquivos “criaram um ponto de apoio resiliente no site”, o que significa que os atacantes poderiam facilmente retornar, a menos que o site fosse totalmente limpo e protegido.

Gostou desse artigo? Avalie!
Eu detestei Eu não gostei Achei razoável Muito bom! Eu adorei!

Estamos muito felizes que tenha gostado do nosso trabalho!

Como um leitor importante, você se importaria de nos avaliar no Trustpilot? É rápido e significa muito para nós. Obrigado por ser incrível!

Avalie-nos no Trustpilot
0 Votado por 0 usuários
Título
Comentar
Obrigado por seu feedback