Um novo e preocupante relatório da Patchstack sobre a segurança do WordPress revela que o tempo para proteger um site está diminuindo drasticamente. Hackers agora exploram vulnerabilidades em questão de horas após sua divulgação, tornando obsoletas as práticas de segurança mais lentas. O relatório também destaca um risco oculto nos plugins e temas premium.
- Ataques em questão de horas: As vulnerabilidades de alto impacto são exploradas, em média, dentro de 5 horas após serem divulgadas publicamente, eliminando a janela de segurança que os administradores de sites costumavam ter.
- Plugins premium são um ponto cego: Embora tenham menos falhas descobertas, 76% das vulnerabilidades encontradas em componentes premium são exploráveis em ataques reais, e eles contêm mais falhas críticas “zero-day” do que os gratuitos.
- Atraso nas correções é comum: Desenvolvedores falharam em fornecer uma correção a tempo para 46% das vulnerabilidades descobertas, deixando os sites expostos no momento de maior risco.
- Firewalls de hospedagem são insuficientes: Testes mostraram que as defesas padrão de provedores de hospedagem (como WAFs) bloquearam apenas 26% de todos os ataques a vulnerabilidades do WordPress.
- A persistência é o novo normal: Os invasores não estão mais focados em ataques únicos. A tendência agora é estabelecer “pontos de apoio” (backdoors) para manter o acesso ao site a longo prazo, mesmo após a limpeza inicial.
O relatório “State of WordPress Security in 2026” da Patchstack pinta um quadro sombrio para administradores de sites que não agem com rapidez. A descoberta mais alarmante é a velocidade com que as vulnerabilidades são “armadas”: metade das falhas de alto impacto são exploradas em menos de 24 horas, com as mais visadas sendo atacadas em apenas 5 horas. Isso significa que a corrida contra o tempo para aplicar patches nunca foi tão crítica.
Outro ponto de atenção é o risco oculto dos plugins e temas premium. Por terem o código fechado, eles são menos auditados por pesquisadores de segurança. No entanto, o relatório mostra que, quando uma falha é encontrada neles, a probabilidade de ser grave é muito maior. 76% das vulnerabilidades em componentes premium eram exploráveis, e eles continham significativamente mais falhas “zero-day” do que os plugins gratuitos.
O problema é agravado pela demora dos próprios desenvolvedores, que em quase metade dos casos não liberaram uma correção a tempo. Para piorar, confiar apenas nas defesas da sua hospedagem é uma aposta arriscada, já que elas se mostraram incapazes de bloquear a maioria dos ataques. O relatório também reforça que vulnerabilidades antigas, de anos atrás, continuam sendo um alvo principal, evidenciando a falha de muitos sites em se manterem atualizados. A era de “atualizar quando der” acabou; a segurança do WordPress agora exige vigilância constante e ação imediata.
Para se aprofundar mais no assunto, acesse o artigo “Report Shows WordPress Sites Are Getting Hacked At Faster Rate“, publicado no Search Engine Journal.
