Plugin WordPress Maps tem falha crítica que permite criação de contas de administrador
Uma falha grave no plugin WP Maps Pro para WordPress, usado para incorporar mapas personalizados do Google, abriu a porta para que invasores criassem contas de administrador sem qualquer autenticação prévia em milhares de sites. Segundo análise de especialistas da Wordfence, publicada em 28 de maio, o problema afeta todas as versões do plugin até a 6.1.0 e coloca em risco cerca de 15 mil instalações ativas.
O plugin, que é uma solução comercial popular para exibir mapas com marcadores e categorias personalizadas, foi corrigido na versão 6.1.1. A vulnerabilidade foi identificada pelo pesquisador David Brown, participante do programa de recompensas da Wordfence, que recebeu 1.950 dólares pelo reporte da falha, classificada como crítica.
Como a vulnerabilidade funcionava
O ponto fraco estava em um recurso aparentemente inofensivo: o “acesso temporário”. A funcionalidade foi criada para permitir que a equipe de suporte do desenvolvedor do plugin pudesse acessar o site do cliente, por tempo limitado, para diagnosticar e corrigir problemas.
Na prática, esse mecanismo era controlado por uma função específica, chamada `wpgmp_temp_access_ajax_callback`. Essa função era protegida por um nonce – um token de segurança usado para evitar requisições forjadas. No entanto, a implementação continha dois problemas graves:
1. O nonce podia ser obtido por usuários não autenticados.
2. Não havia qualquer verificação de capacidade (capability check) para limitar o uso desse recurso a administradores ou usuários com permissões elevadas.
Com isso, um invasor conseguia acionar a função vulnerável mesmo sem ter login no site. Bastava fazer uma requisição ao endpoint do plugin, definindo o parâmetro `check_temp` como `false`. Quando esse parâmetro era configurado dessa forma, a função passava a criar automaticamente um novo usuário no WordPress com papel de administrador.
Criação automática de administrador e “URL mágica”
Ao explorar a falha, o plugin gerava:
– um usuário administrador com nome criado aleatoriamente;
– um e-mail fixo, sempre o mesmo: `[email protected]`;
– uma “URL mágica de login”, devolvida diretamente no corpo da resposta da requisição.
Essa URL especial permitia que o atacante se autenticassse no painel do WordPress sem senha, sem segundo fator de autenticação e sem qualquer outra verificação adicional. Bastava acessar o endereço gerado para entrar imediatamente como administrador do site. Na prática, isso significava controle total da instalação WordPress: desde a alteração de conteúdo e inclusão de códigos maliciosos até a criação de novas contas privilegiadas, instalação de outros plugins e modificação de configurações críticas de segurança.
Versões afetadas e correção na versão 6.1.1
A vulnerabilidade impacta todas as versões do WP Maps Pro até a 6.1.0. Na versão 6.1.1, o desenvolvedor enfim adicionou uma checagem de capacidade apropriada à função vulnerável, usando a verificação `current_user_can(‘manage_options’)`.
Isso restringe o acesso ao endpoint apenas a usuários já autenticados com permissão de gerenciar opções do site – normalmente, administradores. Com essa alteração, um usuário anônimo não consegue mais acionar a lógica de criação de conta de administrador nem gerar a URL mágica para login automático.
A Wordfence recomenda que todos os proprietários de sites que utilizam o WP Maps Pro atualizem imediatamente para a versão 6.1.1 ou superior. Manter o plugin desatualizado significa deixar o site exposto à criação silenciosa de contas administrativas por criminosos.
Linha do tempo da divulgação e resposta do fornecedor
A comunicação com o desenvolvedor do plugin não foi simples. A Wordfence relatou que não conseguiu localizar canais diretos eficazes de contato com o fornecedor. Por isso, o caso foi escalado para a equipe de segurança da Envato em 16 de maio de 2026.
A partir desse ponto, a Envato encaminhou o relatório ao responsável pelo plugin. A versão corrigida do WP Maps Pro foi disponibilizada em 20 de maio de 2026, apenas alguns dias após a notificação formal via plataforma. Em 28 de maio, a Wordfence publicou o relatório técnico detalhando a falha e o processo de correção.
Proteção por firewall e camadas extras de defesa
Além da correção no próprio plugin, a Wordfence implementou regras de firewall específicas para bloquear tentativas de exploração dessa vulnerabilidade. Usuários das versões Wordfence Premium, Care e Response receberam essa proteção em 18 de maio de 2026, antes mesmo da divulgação ampla dos detalhes técnicos, reduzindo a janela de exposição.
Para quem utiliza a versão gratuita do Wordfence, a mesma regra de firewall foi programada para ser liberada em 17 de junho de 2026. Esse intervalo segue a prática comum de oferecer proteção antecipada para clientes pagantes, e depois ampliar a mitigação para a base gratuita.
Mesmo com o firewall em ação, a recomendação continua sendo a mesma: atualizar o plugin comprometido o quanto antes. Regras de firewall são uma camada importante, mas não substituem a correção na origem do problema, que é o código vulnerável.
O que administradores de sites devem fazer agora
Para quem administra um site WordPress que utiliza o WP Maps Pro, a ação imediata é:
1. Verificar a versão instalada do plugin.
2. Atualizar para a versão 6.1.1 ou superior, se ainda não o fez.
3. Revisar a lista de usuários do WordPress e procurar por contas suspeitas com perfil de administrador, principalmente com e-mails estranhos ou nomes de usuário aleatórios.
4. Conferir logs de acesso, se disponíveis, com atenção especial a logins incomuns nos últimos dias ou semanas.
Se uma conta desconhecida for encontrada, o ideal é removê-la imediatamente, alterar senhas de administradores legítimos, revisar chaves e tokens de acesso e considerar uma varredura de segurança completa no site, incluindo busca por backdoors e arquivos modificados.
Boas práticas ao usar plugins no WordPress
O incidente com o WP Maps Pro reforça um ponto crítico: plugins são, ao mesmo tempo, a maior força e um dos maiores pontos de fragilidade do ecossistema WordPress. Alguns cuidados básicos podem reduzir bastante o risco:
– Atualizações frequentes: manter WordPress, temas e plugins sempre nas versões mais recentes, especialmente quando uma atualização traz correções de segurança.
– Seleção criteriosa de plugins: priorizar extensões bem avaliadas, com boa reputação, manutenção ativa e histórico de respostas rápidas a vulnerabilidades.
– Menos é mais: remover plugins que não são realmente necessários. Cada plugin adicional representa uma nova superfície de ataque.
– Monitoramento de segurança: usar soluções de firewall de aplicação web, escaneamento de malware e alertas de atividade suspeita.
– Backups regulares: manter cópias de segurança automatizadas, armazenadas fora do servidor principal, para possibilitar recuperação rápida em caso de comprometimento.
Riscos reais de uma conta de administrador comprometida
A possibilidade de um invasor criar uma conta de administrador vai muito além do risco de simples defacement (alteração visual do site). Um atacante com acesso administrativo pode:
– instalar plugins maliciosos que atuem como backdoors;
– injetar códigos para roubo de dados de formulários, incluindo credenciais e informações pessoais de clientes;
– redirecionar visitantes para páginas de phishing ou distribuição de malware;
– adicionar usuários ocultos, com nomes discretos, para manter o acesso mesmo após supostas limpezas;
– alterar configurações de SEO para desviar tráfego ou prejudicar o ranking de busca do site.
Em ambientes corporativos, o comprometimento de um site WordPress pode servir como ponto de entrada para ataques mais amplos à infraestrutura da organização, principalmente se houver integrações com sistemas internos, CRM, gateways de pagamento ou serviços de autenticação unificada.
Importância da revisão de recursos de “acesso temporário”
A vulnerabilidade no WP Maps Pro ilustra como recursos de suporte, criados para facilitar o atendimento ao cliente, podem se transformar em graves brechas de segurança quando não são projetados com o princípio de privilégio mínimo.
Funcionalidades de “acesso temporário” ou “acesso remoto de suporte” devem:
– exigir autenticação prévia de um usuário com privilégios adequados;
– limitar estritamente o escopo e a duração do acesso;
– registrar logs detalhados de uso;
– utilizar tokens ou URLs secretos que não possam ser obtidos por visitantes anônimos.
Na ausência dessas salvaguardas, um mecanismo voltado ao suporte pode ser explorado por atacantes para assumir o controle completo do ambiente.
Segurança como processo contínuo
Casos como o do plugin WP Maps Pro deixam claro que segurança em WordPress não é um estado, mas um processo contínuo. Mesmo plugins consagrados, com milhares de instalações, podem apresentar falhas graves ao longo do tempo.
Para reduzir riscos, é essencial:
– acompanhar notícias de segurança e boletins relacionados a plugins utilizados no site;
– definir rotinas periódicas de atualização e revisão de permissões;
– tratar plugins de terceiros como componentes críticos, que precisam de gestão ativa de vulnerabilidades;
– envolver equipes técnicas e de segurança da informação nas decisões sobre quais extensões adotar em ambientes corporativos.
Ao agir rapidamente diante de alertas como esse, revisar configurações e aprimorar práticas de segurança, administradores e empresas conseguem diminuir significativamente a chance de ver seus sites comprometidos por vulnerabilidades que, muitas vezes, já contam com atualização disponível – como é o caso do WP Maps Pro, que já foi corrigido na versão 6.1.1.