O que aconteceu?
Descoberta em 8 mai 2026 pela plataforma PRISM, da Wordfence.
Falha introduzida em 23 abr 2026; corrigida em 12 mai 2026 na versão 3.4.2 do Burst Statistics.
Em 24 h, o firewall da Wordfence bloqueou +7 400 tentativas de exploração.
Como o ataque funciona
Atacante obtém (ou adivinha) o nome de usuário de um administrador.
Envia requisição à API REST do WordPress usando qualquer senha fictícia.
O plugin interpreta erroneamente o retorno null como sucesso e chama
wp_set_current_user().Resultado: privilégios administrativos plenos; pode até criar um novo admin fantasma.
Quem está vulnerável?
Qualquer site que:
Use Burst Statistics < 3.4.2;
Exponha nomes de usuário (públicos em posts, comentários, feeds);
Não possua firewall ou regra específica bloqueando o vetor.
Ação imediata para administradores
Prioridade | Medida | Detalhes |
|---|---|---|
1 | Atualizar para 3.4.2 | Vá em Plugins → Atualizações ou baixe manualmente no repositório. |
2 | Sem tempo para patch? Desative o Burst Statistics | Remova ou desligue o plugin até poder aplicar o update. |
3 | Verifique contas de administrador | Exclua usuários suspeitos criados recentemente. |
4 | Altere senhas e implemente 2FA | Reduz impacto caso credenciais vazem. |
5 | Instale um firewall de aplicação (ex.: Wordfence) | Bloqueia probes automáticos enquanto você corrige. |
Como confirmar se fui comprometido?
Revise Users → All Users em busca de logins desconhecidos.
Verifique wp-content/plugins e themes por arquivos recentes ou modificados.
Monitore logs de acesso para chamadas exageradas a
/wp-json/wp/v2/users.Use scanners de malware (Wordfence, Sucuri, etc.) para detectar backdoors PHP.
Boas práticas para evitar futuros “zero-day” em plugins
Menos é mais: mantenha apenas plugins essenciais; plugins ociosos viram brechas.
Atualização automática (ou alerta recorrente) para plugins populares.
Princípio do menor privilégio: contas editoras não precisam de acesso total.
Backup diário fora do servidor: restaurar é mais rápido que negociar com invasor.
Monitoramento de segurança: configure alertas para logins e alterações de arquivo.
Conclusão
A falha crítica no WordPress via Burst Statistics é um lembrete: 1 linha de código mal validada pode derrubar milhares de sites. Atualize agora para a versão 3.4.2 ou desative o plugin — este é o passo mais rápido para manter seu WordPress seguro.