Posts mais comentados

contact@ethsecurity.com.br
sábado, fevereiro 7, 2026
ETH SECURITY
HomeHackingPlugins Piratas – Análise técnica
Hackingremoção de malwareSegurança na webSegurança wordpress

Plugins Piratas – Análise técnica

defensorwebdefensorwebplugin nulledsecuritysegurança de sitessegurança websegurança wordpress

Você ja se perguntou qual seria o perigo de instalar um plugin ou tema pirata em seu site? Será seguro? oque vai acontecer se eu usar?

Para responder essas perguntas decidimos baixar um plugin pirata de um site que oferece os temas e plugins nulled, instalar em um ambiente controlado e ver as alterações e quais os perigos que quem instala plugins e temas nulled estão correndo.

Baixamos o arquivo do plugin e antes mesmo de instalar realizamos um scan com assinturas comerciais do clamav e ja encontramos o primeiro problema:

 

A assinatura já nos da uma pista do malware que está nesse arquivo porém vamos analisar mais a fundo:

Em uma rápida analise o código acima faz:

  • Cria um usuário administrador oculto com login fixo (default) e senha pré-definida.
  • Esconde esse usuário da listagem de administradores no painel WordPress, alterando queries e contadores.
  • Envia informações do site (URL e data) para um servidor externo (llllll.my).
  • Injeta código malicioso em arquivos sensíveis (footer.php, functions.php, formatting.php) de todos os temas.
  • Carrega código remoto de outro servidor (panel.hac…..) sempre que o site é acessado.
  • Desativa cache no site para garantir que os scripts maliciosos sempre sejam executados.
  • Se instala de forma persistente, dificultando a detecção e remoção.

Então resolvemos instalar o plugin e analisar o comportamento.

 

Após o pluign instalado o que olhamos primeiro é a tabela de usuários

 

Na tabela de usuários pelo wordpress não existe nenhum usuário maliciosos, mas se formos direto no banco de dados:

 

Isso acontece por causa desse trecho de código, que esconde o usuário no backend do wordpress:

Note que o código acima tem o usuário e a senha do user malicioso, o nível de acesso do usário e a opção para esconder o mesmo no admin bar, dificultando a vida de quem não possui um conhecimento mais técnico para remoção das infecções.

Seguindo em frente, o seguinte código foi adicionado no footer do tema, direcionando os visitantes para sites de spam, comprometendo o trafego do site, SEO e resultados de mecanismos de busca.

Por último o script envia os dados do site para um site terceiro, avisando que aquele site está sob controle do invasor:

 

Com isso completa-se a análise, chegando a conclusão de que nunca se deve utilizar plugins ou temas de fontes duvidosas, além de você não ter suporte para aplicação você estará entregando seu site para terceiros realizarem envio de spam, ataques a outros hosts ou hospedagem de phishing.

 

Tags :plugin nulledsecuritysegurança de sitessegurança websegurança wordpress
defensorweb

defensorweb

view all posts

Você também pode gostar de