Sites em WordPress são populares justamente por serem práticos. Mas essa popularidade também atrai atenção de criminosos digitais. Nos últimos dias, bases públicas de vulnerabilidades reuniram novos registros e alertas que reforçam um ponto simples: manter o WordPress e seus plugins atualizados não é “capricho”, é proteção básica.
Dois casos chamam a atenção por envolverem componentes comuns do ecossistema WordPress. Um deles afeta o plugin ShopWP (até a versão 2.0.4) e está relacionado a permissões na comunicação via API. Em termos práticos, se um site estiver vulnerável, uma pessoa mal-intencionada pode tentar acessar ou acionar funções sem a checagem correta de autorização, abrindo espaço para mudanças indevidas ou coleta de dados.
Outro alerta envolve versões específicas do WordPress (6.4.0 e 6.4.1) e um componente interno ligado ao processamento de conteúdo. O risco aqui é que informações sejam tratadas de forma insegura, o que pode causar comportamentos inesperados e, dependendo do cenário, facilitar ataques remotos. Mesmo quando ainda não há “exploit público”, o tempo entre a divulgação e o uso em ataques pode ser curto.
Além disso, a National Vulnerability Database publicou novos identificadores (CVE-2025-64119 a CVE-2025-64123). Nem sempre esses registros vêm com detalhes completos no primeiro momento, mas servem como sinal para equipes de TI acompanharem atualizações e correções do mercado.
Revise hoje a lista de plugins e temas, remova o que não usa e atualize o que for essencial. Ative atualizações automáticas quando fizer sentido e mantenha backups testados, para recuperar o site rápido se algo der errado.
No fim, segurança é rotina: monitorar, corrigir e validar. Se você quer reduzir riscos de forma contínua, conheça os serviços da LC SEC: Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientização, Plano Diretor de Segurança e SGSI (políticas/processos/procedimentos). lcsec.io