Um backdoor implantado há anos no plugin Quick Page/Post Redirect, instalado em dezenas de milhares de sites WordPress, converte uma utilidade aparentemente inocua em uma porta de entrada para injeção de código arbitrário e operações de spam SEO. O pesquisador Austin Ginder, fundador da hospedagem Anchor, detectou a campanha após vários alertas em sua plataforma e documentou como versões oficiais antigas do plugin continham um mecanismo oculto de autoatualização que consultava um servidor externo, permitindo substituir ou injetar código fora do controle do repositório oficial.
A ameaça combina dois vectores perigosos: uma atualização "silente" de um servidor alheio ao WordPress.org e um backdoor que se ativa apenas para usuários desligados, o que dificulta sua detecção por administradores. De acordo com a análise, as versões 5.2.1 e 5.2.2 incluíam a lógica maliciosa que apontava a anadnet[.]com; em março de 2021, uma build 5.2.3 manipulada com um hash diferente do da mesma versão no WordPress.org, e essa build adicionou código hookeado ao the_content para injetar payloads orientados para SEO spam.
O risco real não é apenas o spam visível: o mecanismo de autoatualização remota permitia executar código arbitrário sob demanda. Embora hoje esse subdomínio de controle não esteja resolvendo para todas as instalações, Essa "porta" segue presente nos sítios afetados e pode se reativar se o ator por trás do domínio a torna a habilitar ou se a infraestrutura muda de mãos. O WordPress.org retirou temporariamente o plugin do diretório para sua revisão, mas enquanto houver instalações com a atualização apontando para o servidor externo o risco permanece.
Se você administra um WordPress, a primeira medida imediata é verificar se você tem instalado o Quick Page/Post Redirect e qual versão corre. Se a sua instalação estiver nas versões comprometidas (5.2.1 ou 5.2.2) ou numa cópia que pudesse ter sido atualizada a partir desse servidor externo, desinstala o plugin e não confie em cópias locais anteriores sem as verificar. Substituir por uma versão limpa diretamente do WordPress.org quando publicada (pontou a 5.2.4 como base) é a ação recomendada, mas não a única: a presença de um auto-update malicioso requer uma limpeza completa e verificação de integridade do site.
Além de desinstalar e reinstalar de uma fonte verificada, é imprescindível auditar arquivos do site em busca de portas traseiras. Revi arquivos modificados recentemente, compara hashes com o repositório oficial quando possível, busca chamadas salientes para anadnet ou subdomínios relacionados no código e nos logs HTTP, e remove qualquer arquivo ou crontab suspeito. Rota credenciais administrativas, muda chaves APIs que poderiam ser armazenadas no site e analisa usuários administrativos para detectar contas não autorizadas.
Não confie apenas no desaparecimento do C2: toma medidas defensivas em nível de rede e hospedagem bloqueando domínios e subdomínios maliciosos (por exemplo, no firewall ou hosts do servidor) e ativa um WAF ou regras de bloqueio em seu fornecedor. Executa a digitalização com ferramentas especializadas para o WordPress e considere pedir à sua hospedagem uma análise forense se detectar sinais de compromisso. Para começar com digitalização e limpeza, você pode consultar recursos públicos de provedores de segurança especializados no WordPress, como Wordfence https://www.wordfence.com/ ou relatórios e guia do próprio descubridor em Anchor https://anchor.host/the-plugin-author-was-the-supply-chain-attacker/.
Este incidente sublinha uma lição maior sobre a cadeia de fornecimento de plugins: a confiança no repositório oficial não elimina o risco de modificações ocultas se existir um mecanismo de atualização fora do ecossistema controlado. Os mantenedores de plugins devem evitar qualquer auto-updater que dependa de servidores externos não verificados e os equipamentos de revisão precisam de ferramentas e processos que detectem manifestos de atualização remotos e diferenças de hash entre builds idênticas.
Para desenvolvedores e administradores avançados, é recomendável instrumentar uma política de controle de integridade (file integrity monitoring), bloquear funções PHP perigosas quando não forem necessárias, e auditar dependências de terceiros regularmente. Para responsáveis por negócios e editores, a sugestão é priorizar plugins mantidos ativamente com boa reputação, revisar histórico de mudanças e, em ambientes críticos, avaliar o uso de repositórios internos ou soluções de pagamento com garantias comerciais e suporte técnico.
A vulnerabilidade em Quick Page/Post Redirect é um lembrete de que um plugin pequeno pode se tornar um multiplicador de risco em grande escala. Atua rápido: identifica instalações afetadas, realiza uma limpeza exaustiva ou restaura de cópias limpas, bloqueia a infraestrutura maliciosa e fortalece controles para evitar que um incidente parecido volte a ocorrer. Para mais contexto sobre como gerenciar compromissos de plugins e medidas de resposta, a página oficial de plugins do WordPress pode servir como ponto de partida: https://wordpress.org/plugins/.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...