Se você usa WordPress, corra para verificar o seu painel agora mesmo. Uma vulnerabilidade catastrófica acaba de ser descoberta, permitindo que criminosos virtuais assumam o controle total de sites sem precisar digitar uma única senha. O estrago já começou.

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link!
• Assine nossa newsletter neste link ou no LinkedIn!
• Siga o tecflow no tik tok!

O Pesadelo do WordPress: Entenda a falha que dispensa senha de administrador

Imagine acordar e descobrir que seu site foi completamente roubado por um hacker que sequer precisou adivinhar sua senha. Parece ficção, mas é exatamente o que a brecha CVE-2026-8181 está fazendo neste exato momento.

O alvo da vez é o popular plugin Burst Statistics, instalado em mais de 200 mil páginas da web. A falha é tão absurda quanto perigosa: se o invasor souber apenas o seu nome de usuário (que muitas vezes fica exposto publicamente em posts ou comentários), ele consegue enganar o sistema e entrar direto como Administrador Supremo.

O pior cenário: O hacker não apenas entra no seu perfil, mas pode criar contas de administrador totalmente novas do zero, garantindo que ele mande no seu site para sempre, mesmo se você tentar mudar suas credenciais.

Onda de ataques destrutivos já começou: Mais de 7.400 sites atacados em 24 horas!

Não ache que isso é um problema para o futuro. O sangue já está correndo na internet. A renomada empresa de cibersegurança Wordfence revelou um dado assustador: foram bloqueados mais de 7.400 ataques explorando essa falha em apenas 24 horas.

Os cibercriminosos estão usando robôs para varrer a web atrás de sites vulneráveis. Uma vez dentro, o estrago é total. Eles podem:

• Roubar dados confidenciais de clientes e leitores;
• Instalar vírus e malwares invisíveis;
• Redirecionar o seu público para páginas de golpes e pornografia;
• Destruir anos de trabalho deletando o banco de dados.

Como o erro bizarro aconteceu (e a IA que descobriu tudo)

O erro nasceu de uma falha boba de código na integração do Burst Statistics com a plataforma MainWP. Basicamente, o sistema foi configurado para aceitar qualquer resposta que não fosse um erro explícito como “autenticação liberada”. O problema é que o WordPress, às vezes, responde com um valor nulo (null), e o plugin interpretou esse “vazio” como um “seja bem-vindo, hacker!”.

A descoberta foi feita no dia 8 de maio pela plataforma PRISM, uma inteligência artificial autônoma da Wordfence que caça brechas de segurança. O erro bizarro tinha sido colocado no ar pelos desenvolvedores apenas 15 dias antes, em 23 de abril.

Mais de 115 mil sites continuam desprotegidos: Como se salvar AGORA

Embora os desenvolvedores tenham agido rápido e lançado uma correção no dia 12 de maio, os números do WordPress.org acendem o sinal vermelho. Cerca de 85 mil sites já se atualizaram, o que significa que mais de 115 mil sites continuam completamente expostos e implorando para serem hackeados.

O que você deve fazer imediatamente:

1. Acesse o painel do seu WordPress.
2. Vá até a aba de Plugins.
3. Procure pelo Burst Statistics.
4. Se a versão for anterior à 3.4.2, clique em Atualizar Agora sem pensar duas vezes.

Dica de emergência: Se você não conseguir atualizar o plugin agora por qualquer motivo de compatibilidade, a recomendação dos especialistas é desativar e deletar o Burst Statistics imediatamente até que possa corrigir o problema. Ficar com ele ativo é como deixar a porta da sua casa escancarada em uma rua perigosa.

Seus dados e o seu negócio correm perigo real. Não espere o pior acontecer para tomar uma atitude!

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.