Um alerta recente acendeu o sinal vermelho para administradores de sites WordPress: mais de 100 mil sites estão vulneráveis a ataques devido a uma falha crítica no plugin WP-Automatic, amplamente utilizado para automatizar publicações.
A falha foi descoberta na versão 3.9.2.0 e permite que invasores explorem um mecanismo de importação de conteúdo para executar comandos maliciosos. O problema se agrava pelo fato de a vulnerabilidade poder ser explorada por qualquer pessoa, mesmo sem autenticação prévia. Isso transforma qualquer site afetado em um alvo fácil para cibercriminosos, que podem instalar backdoors, roubar dados ou até derrubar a página.
A vulnerabilidade foi classificada como crítica, com pontuação CVSS de 9.9, e rapidamente corrigida na versão 3.9.2.1 do plugin. No entanto, milhares de sites ainda não aplicaram a atualização, mantendo-se expostos ao risco. Desde 15 de maio de 2025, já foram registradas mais de 5 mil tentativas de exploração.
Essa situação destaca um problema comum: a negligência na manutenção de softwares e plugins atualizados. Pequenas falhas, quando não corrigidas, tornam-se portas de entrada para invasões, colocando dados sensíveis e a continuidade do negócio em risco.
Para empresas que utilizam WordPress ou qualquer outro CMS, a lição é clara: é essencial manter todos os componentes atualizados e realizar avaliações periódicas de segurança, como os testes de intrusão (pentests), que identificam vulnerabilidades antes que sejam exploradas.
Na LC SEC, oferecemos soluções práticas e acessíveis em segurança digital, incluindo pentests realistas, conscientização em segurança e estruturação de políticas eficazes. Evite prejuízos e proteja seus ativos mais valiosos com quem entende do assunto.
Acesse nosso site e descubra como podemos ajudar sua empresa a se proteger de ameaças digitais: lcsec.io
Referência:
The Hacker News - Over 100,000 WordPress Sites at Risk from Critical WP-Automatic Plugin Flaw
Compartilhe nas redes sociais:
