Quase um milhão de sites WordPress únicos foram infectados com malware no ano passado, segundo o relatório anual da empresa de segurança Wordfence. Em dias típicos, entre 325 mil e 350 mil sites estavam comprometidos. O tipo mais comum de ataque envolve scripts maliciosos que tentam enganar visitantes com falsas “atualizações de navegador” ou redirecioná-los para páginas perigosas.
Leia também
Plataforma promete segurança em devops com I.A.
22% dos anexos maliciosos agora são PDFs
Grande parte dessas infecções teve origem em plugins vulneráveis. O Wordfence observou que o uso de falhas de segurança para comprometer sites aumentou, enquanto os ataques de força bruta com senhas diminuíram, reflexo da adoção de práticas mais seguras como autenticação em duas etapas (2FA).
O núcleo do WordPress (WordPress Core) apresentou apenas cinco vulnerabilidades no período analisado. No entanto, o ecossistema de plugins é vasto (mais de oito mil.) e cerca de dois mil desses ainda aguardam atualizações de segurança. A falha mais explorada no ano passado foi encontrada no plugin LiteSpeed Cache, seguida de perto por uma vulnerabilidade no WP Meta SEO.
O Wordfence reforça que administradores devem manter suas instalações e extensões atualizadas, evitar plugins desatualizados ou abandonados, adotar senhas fortes, configurar 2FA e remover softwares sem suporte. Em muitos casos, a ausência de correções se deve ao abandono do projeto por parte dos desenvolvedores.
