Vulnerabilidades críticas no WordPress: Entenda os riscos no King Addons e ACF Extended

Falhas graves colocam milhares de sites em risco e exigem atenção imediata

Carlos Valente, em Dezembro 09, 2025 | 118 visualizações | Tempo de leitura: 3 min - 555 palavras.

Imagem ilustrativa sobre riscos de segurança envolvendo plugins WordPress.

O WordPress é uma das plataformas mais utilizadas no mundo e, por isso, também é um dos principais alvos de ataques digitais. Mesmo que o administrador do site não faça nenhuma alteração indevida, basta que um plugin apresente uma falha para abrir uma porta perigosa para invasores.

Foi exatamente isso que aconteceu recentemente com dois plugins populares, o King Addons for Elementor e o ACF Extended. Ambos apresentaram vulnerabilidades críticas que estão sendo ativamente exploradas por criminosos e colocam milhares de sites em risco, afetando desde blogs pessoais até portais corporativos.

O que aconteceu com o King Addons

O plugin King Addons, usado para complementar recursos do Elementor, apresentou uma falha que permite que qualquer pessoa na internet, sem autenticação, consiga escalar privilégios. Isso significa que o invasor pode criar um usuário com nível de administrador e assumir o controle total do site.

Falha no King Addons permitia criação de contas administrativas sem autorização.

O maior problema é que esses ataques acontecem de forma silenciosa. Muitas vezes, o proprietário do site só percebe o problema depois que a invasão já aconteceu, quando páginas começam a redirecionar o visitante ou quando conteúdos suspeitos aparecem.

A ameaça no ACF Extended

No ACF Extended, a situação é ainda mais perigosa. A falha identificada é de execução remota de código, conhecida como RCE. Na prática, isso permite que o invasor execute comandos no servidor onde o site está hospedado.

Falha RCE no ACF Extended permitia execução de comandos diretamente no servidor.

Com esse tipo de vulnerabilidade, o atacante pode instalar backdoors, modificar arquivos, apagar dados ou até mesmo usar o servidor para invadir outros sistemas. Por isso, tratam-se de falhas consideradas críticas pelas equipes de segurança.

Como saber se seu site foi afetado

Mesmo que você não entenda de programação, existem sinais que podem indicar que seu site foi comprometido, como criação de usuários desconhecidos, lentidão repentina, mensagens de erro incomuns e arquivos estranhos dentro das pastas do WordPress.

Caso o plugin tenha ficado desatualizado por algum tempo, é recomendável verificar seu painel de usuários, ativar um plugin de auditoria e, se possível, analisar os registros de log da hospedagem.

Como se proteger agora

Medidas simples ajudam a prevenir ataques e proteger seu site.

Felizmente, corrigir o problema é simples. Os desenvolvedores dos plugins já lançaram atualizações que fecham as brechas. Basta atualizar imediatamente para a versão mais recente do King Addons e do ACF Extended.

Além disso, é importante ativar a autenticação de dois fatores, usar plugins de firewall, limitar acessos administrativos e manter todos os componentes do WordPress sempre atualizados.

Conclusão

Falhas como essas mostram que a segurança digital é uma responsabilidade contínua. Mesmo plugins confiáveis podem se tornar portas de entrada para ataques quando não estão atualizados. Por isso, revisar seu ambiente digital com frequência é essencial para manter a integridade do seu site.

Não está satisfeito com seu site em WordPress ou não se sente mais seguro com a plataforma? A Valente Soluções oferece desenvolvimento de sites profissionais, modernos e totalmente personalizados, utilizando tecnologias seguras e de alta performance. Se você deseja migrar, renovar ou criar um site realmente confiável, fale conosco e descubra como podemos transformar sua presença digital.