Como Detectar Plugins WordPress Abandonados Que Podem Estar Colocando Seu Site em Risco

Publicado: por Alejandro Granata
Como Detectar Plugins WordPress Abandonados Que Podem Estar Colocando Seu Site em Risco thumbnail

“É abril. O que a árvore de Natal está fazendo na sala de estar?”

Você passou horas decorando a árvore de Natal e banhando-a em luzes cintilantes.

Mas isso foi em dezembro.

A vida ficou agitada, e antes que percebesse, a primavera chegou. E agora, a pobre árvore murcha no canto, perdendo agulhas — um perigo de incêndio empoeirado mais do que um centro de mesa festivo.

Isso é o que acontece com plugins WordPress abandonados.

Nós os instalamos por uma razão, mas com o tempo, eles são esquecidos. Se deixados sem supervisão, plugins abandonados tornam-se riscos de segurança, expondo seu site a ameaças potenciais.

Vamos identificá-los e removê-los.

O Que É Um Plugin Abandonado?

Oh sim, primeiro, ainda precisamos entender o que exatamente é um plugin abandonado.

Um plugin abandonado é um plugin WordPress que seu desenvolvedor não mantém ou atualiza mais. O WordPress considera um plugin abandonado se ele não recebeu atualizações em mais de dois anos.

Plugins desse tipo podem se tornar incompatíveis com as versões mais recentes do WordPress, levando a potenciais vulnerabilidades de segurança e problemas de funcionalidade.

Por Que Plugins Abandonados São Um Grande Problema

Plugins abandonados são como bombas-relógio para o seu site WordPress. Em 2023, 97% de todas as novas vulnerabilidades do WordPress originaram-se de plugins, enquanto apenas 0,2% foram encontradas no próprio núcleo do WordPress. Isso significa que quase todos os problemas de segurança que afetam os sites WordPress vêm de plugins e temas — não do software principal.

O relatório de vulnerabilidades do WordPress da SolidWP tem atualizações diárias sobre quaisquer novas vulnerabilidades no ecossistema WordPress. Você quase sempre verá novas vulnerabilidades para plugins, mas raramente para o núcleo do WordPress.

Captura de tela do anúncio de atualização do Core do WordPress 6.7.2 destacando 35 correções de bugs. Uma marca de verificação verde indica que não há novas vulnerabilidades no core.

Isso é milhares de proprietários de empresas que lidaram com:

  • Perda de receita durante a inatividade do site.
  • Dados de clientes comprometidos.
  • Reputação prejudicada e confiança perdida.
  • Google classificando o site como “potencialmente prejudicial”.
  • Horas (ou dias) gastos limpando a bagunça.

Quando os desenvolvedores abandonam seus plugins, eles param de corrigir falhas de segurança — criando pontos de entrada perfeitos para hackers.

Pense nisso:

  • Sem atualizações de segurança = exposição do seu site a vulnerabilidades conhecidas.
  • Sem testes de compatibilidade com novas versões do WordPress = funcionalidades quebradas.
  • Sem correções de bugs = comportamentos inesperados que podem comprometer seu site.

Agora, o WAF do Wordfence bloqueou 3 milhões de ataques de cerca de 14.000 IPs visando vulnerabilidades de Plugins no primeiro semestre de 2023.

Mas vamos supor que você teve sorte e o plugin abandonado que você possui é completamente seguro para usar.

Ainda temos que lidar com problemas de desempenho.

Toda nova atualização do WordPress melhora a velocidade, reduz redundâncias no sistema e torna o site no geral mais ágil, além de adicionar mais funcionalidades.

Mas se o plugin abandonado sobrecarregar o site, essas melhorias de velocidade podem nunca ser notadas, e seria fácil pensar que o WordPress é o culpado aqui (mesmo que nunca seja).

Também existe uma forte possibilidade de que o plugin cause um conflito com uma versão mais recente do WordPress e você fique com um site quebrado.

Infelizmente, quando isso acontece com Plugins abandonados, você está completamente por conta própria. Sem desenvolvedor para responder perguntas, sem suporte da comunidade, sem atualizações de documentação. 15,7% de todos os Plugins vulneráveis foram completamente removidos do repositório de Plugins do WordPress devido ao abandono.

Isso deixa os proprietários de sites executando, sem saber, softwares desatualizados e sem correção que hackers podem explorar.

Resumidamente — afaste-se desses plugins o mais rápido possível.

Receba conteúdo diretamente na sua caixa de entrada

Inscreva-se agora para receber todas as últimas atualizações, diretamente na sua caixa de entrada.

Como Identificar Plugins Abandonados

É hora de pegar suas lentes de aumento metafóricas e começar a buscar pistas que revelem plugins que estão acumulando poeira em seu Painel WordPress.

Aqui estão algumas coisas que ajudam a identificar se um plugin abandonado está presente em nosso site.

1. A Data de “Última Atualização”

O sinal de alerta mais óbvio está escondido à vista de todos.

No teu Painel de controle do WordPress, vai a Plugins > Plugins Instalados.

Painel do WordPress mostrando a página de Plugins instalados. O item de menu 'Plugins' está destacado em azul com um contorno roxo e setas apontando para ele.

Em seguida, clique em Ver Detalhes para abrir os detalhes do plugin onde você verá a data de “Última Atualização”.

Janela de detalhes do Plugin UpdraftPlus WP Backup & Migration no WordPress. Um contorno roxo destaca a seção 'Última atualização: há 2 semanas'.

UpdraftPlus é um plugin popular e é atualizado com bastante frequência. No momento em que este texto foi escrito, ele foi atualizado há apenas duas semanas, e é seguro retê-lo, pois há desenvolvimento ativo.

Mas você pode ter um plugin antigo ainda no seu site, como o abaixo, atualizado há NOVE anos:

Janela de detalhes do Plugin Público Content XLerator WP no WordPress. Um aviso indica que o plugin não foi testado com a versão atual do WordPress. Um contorno roxo destaca 'Última Atualização: há 9 anos.'

Qualquer plugin não atualizado há mais de um ano merece sua atenção, enquanto aqueles que não foram tocados por dois anos entram na categoria “abandonado” oficial do WordPress e devem ser removidos do seu site o mais rápido possível.

Se houver páginas que ainda utilizam a funcionalidade do plugin (talvez seja um plugin de formulário antigo e você ainda tenha alguns formulários), substitua a funcionalidade por plugins mais novos o mais rápido que puder.

2. Verifique a Data Atualizada na Busca de Plugin

Suponha que você esteja procurando instalar seu próximo plugin WordPress. Você também quer verificar as datas da última atualização nos resultados da pesquisa.

Vamos pegar o mesmo plugin abandonado do exemplo acima aqui. Se você for até Plugins > Adicionar Novos Plugins e procurar por ele, você verá a tela abaixo:

Tela de Adicionar Plugins do WordPress exibindo o Plugin Público Content XLerator WP. Um contorno roxo destaca 'Última Atualização: há 9 anos.' O plugin possui menos de 10 instalações ativas e não foi testado com a versão atual do WordPress.

Observe que ele exibe a data da última atualização diretamente nos resultados da pesquisa, para que você possa decidir se deseja ou não instalar o plugin.

Se não estiveres no teu Painel de controle do WordPress, mas estiveres procurando Plugins no diretório de Plugins do WordPress, podes clicar em qualquer plugin e ver a versão e a data de “Última atualização” no painel de informações à direita.

Página do diretório de plugins do WordPress para 'Embed Plus for YouTube Gallery, Livestream, and Lazy Loading with Facades.' Um contorno roxo destaca os detalhes do plugin, incluindo a versão 14.2.1.3, última atualização há 3 meses, mais de 100.000 instalações ativas e compatibilidade com o WordPress até a versão 6.7.2.

Isso deve fornecer informações suficientes para decidir se o plugin vale a pena considerar ou não.

3. Verificar Tickets de Suporte

Suponha que você veja um plugin que foi atualizado recentemente, mas tem apenas algumas instalações ativas. Como você pode ter certeza de que o plugin está sendo ativamente desenvolvido?

Os tickets de suporte podem mostrar uma imagem clara.

Na página do diretório de plugins do WordPress, vá até qualquer plugin que esteja considerando e clique no link Suporte logo abaixo do botão de download.

Página do diretório de plugin do WordPress para 'UsersWP – Formulário de login front-end, Cadastro de Usuário, Perfil de Usuário & Plugin de Diretório de Membros para WP.' Um contorno roxo destaca o link 'Suporte'.

Nesta página, você verá todos os tickets de suporte que os usuários do WordPress abriram.

Fórum de suporte WordPress para 'UsersWP - Formulário de login Front-end, Registro de Usuário, Perfil de Usuário & plugin de Diretório de Membros para WP.' Exibe uma lista de tópicos de suporte recentes, contagem de participantes, respostas e datas das últimas postagens. Links na barra lateral incluem Perguntas Frequentes, fios de suporte e avaliações.

Se você notar que o desenvolvedor está respondendo ativamente, resolvendo dúvidas e até adicionando novos recursos a pedido, você pode considerar com segurança experimentar o plugin.

Mas às vezes, você pode notar que as consultas ficam sem resposta por semanas e não há desenvolvimento real no plugin. É quando é melhor se afastar e encontrar algo mais ativo.

4. Ouça os Avisos do Seu Painel de Controle

WordPress é como aquele técnico inteligente na tua equipe que mantém tudo em ordem.

Se o núcleo do WordPress, um plugin ou tema fica desatualizado, surge uma nova vulnerabilidade, ou existe um possível conflito, ele envia indicações, notificações e mensagens de erro para deixar isso claro.

Painel do WordPress exibindo um aviso de 'Atualização de PHP Necessária'. A mensagem indica que o site está rodando uma versão insegura de PHP e sugere uma atualização para melhor segurança e desempenho. Um contorno roxo destaca a caixa de aviso.

Você pode optar por ignorar esses avisos e continuar com a ação que planejou executar — mas nós aconselhamos que ouça esses alertas.

5. Execute Verificações de Segurança Automatizadas

Existem muitas maneiras de proteger seu site WordPress. A mais fácil é instalar apenas um plugin de segurança como Wordfence, Patchstack, Sucuri, etc., e deixar que ele determine se algo é bom para o seu site ou não.

Interface de varredura de segurança Wordfence mostrando uma varredura concluída com detecção de 100% em assinaturas de Malware padrão e premium, e verificações de reputação. Nenhum problema novo foi encontrado. Diversas verificações de segurança, incluindo Spam, listas de bloqueio, alterações de arquivo e varreduras de vulnerabilidade, são exibidas.
Fonte

Esses plugins acompanham todas as vulnerabilidades de segurança, plugins abandonados ou desatualizados, e quaisquer problemas no núcleo do WordPress existentes. Se o seu site mostrar sinais que correspondam a qualquer um desses problemas, o plugin irá notificá-lo imediatamente.

Eles também realizam varreduras automáticas em segundo plano para detectar atores maliciosos tentando explorar plugins desatualizados ou abandonados para obter acesso não autorizado ao seu site, ou para identificar plugins anteriormente seguros que foram infectados.

6. O Teste de Popularidade

E finalmente, se não queres preocupar-te com as tecnicidades, deixa isso para a multidão. Os melhores plugins WordPress são também os que têm o maior número de instalações ativas.

Ao procurar plugins no diretório de plugins do WordPress, clique na aba Visualização Avançada abaixo dos dados do plugin (a seção onde vemos a data de “Última atualização”).

Página do plugin WordPress 'Advanced View' mostrando estatísticas, incluindo versões ativas, gráfico de downloads diários e histórico de downloads totais. Um contorno roxo destaca a contagem total de downloads de 609,788,768. Detalhes do plugin, avaliações e versões suportadas também são exibidos.

A visualização avançada mostra estatísticas sobre qual versão dos plugins está sendo usada por todos os usuários, e quantos downloads o plugin recebe diariamente e semanalmente, além das instalações totais.

Plugins com redução no número de instalações ativas (menos de 1.000), tendências de download em declínio ou avaliações consistentemente ruins podem estar a caminho do abandono — ou já estar lá.

Na maioria dos casos, se você utilizar os principais plugins do WordPress que são ativamente usados por muitas pessoas, geralmente você estará bem. Isso ocorre porque os desenvolvedores, bem como os usuários tecnicamente experientes, estão atentos a problemas no código e os resolvem à medida que aparecem.

Encontrou Plugins Abandonados? Saiba O Que Fazer

Então você descobriu o equivalente de uma árvore de Natal esquecida em forma de plugin no seu site WordPress. E agora?

Aqui está seu plano de resgate passo a passo para eliminar esses riscos de segurança de forma segura sem prejudicar seu site.

Passo 1: Encontre uma Alternativa

Antes de mexer em qualquer coisa, encontre uma substituição. Procure por plugins ativos que ofereçam funcionalidades semelhantes aos seus plugins abandonados.

Os melhores substitutos terão:

  • Atualizações nos últimos 3 meses
  • Compatibilidade com a sua versão do WordPress
  • Avaliações positivas (4+ estrelas)
  • Uma comunidade de desenvolvedores ativa
  • Boa documentação

Nota Nerd: Às vezes, a substituição perfeita não é um plugin! Muitas funcionalidades que antes exigiam plugins agora estão incorporadas diretamente no núcleo do WordPress ou no seu tema.

Passo 2: Crie um Backup Completo

Um backup é a rede de segurança do seu site. Não o ignore!

Crie um backup completo do seu site WordPress, incluindo arquivos e banco de dados.

Você pode usar plugins ou as ferramentas de backup do seu host, mas certifique-se de saber como restaurar a partir deste backup se necessário.

Esperamos que o backup não seja necessário, mas será um salva-vidas se algo der errado.

Etapa 3: Teste em um Ambiente de Staging (Quando Possível)

Para sites críticos para os negócios, teste antes de avançar. Se disponível, clone seu site para um ambiente de staging e substitua os plugins abandonados lá primeiro.

Se o site falhar, você precisa investigar o que deu errado e como consertar em staging antes de começar a trabalhar no site ao vivo.

Este ambiente torna-se o seu playground sem consequências para testar novos plugins de forma adequada com a sua configuração específica.

Passo 4: Substitua Cuidadosamente o Plugin

Agora para o evento principal. Aqui está como substituir aqueles plugins abandonados.

  1. Ative o novo plugin primeiro, sem desativar o antigo ainda.
  2. Configure o novo plugin para corresponder às suas configurações do antigo.
  3. Verifique se a funcionalidade funciona como esperado com ambos ativos.
  4. Desative (mas não exclua) o plugin abandonado.
  5. Teste seu site completamente para garantir que nada quebrou.

Quando tiver certeza de que tudo está funcionando como deveria, livre-se daquele antigo plugin WordPress.

Etapa 5: Verificação Pós-Substituição

Após a troca, faça uma análise completa do seu site. Verifique o frontend e o backend do seu site para identificar possíveis problemas.

Procure por falhas visuais, problemas de funcionalidade ou mensagens de erro. E preste atenção especial às funcionalidades que dependiam do plugin substituído.

Deveria Alguma Vez Manter um Plugin Abandonado?

Vamos encarar — às vezes você precisa de um plugin abandonado do qual seu site depende absolutamente.

Talvez ele lide com uma função única (como um sistema de recomendação de checkout específico) que nenhum outro plugin corresponda, ou talvez você tenha construído integrações personalizadas em torno dele.

Então, você pode (e deve) manter isso? Bem… é complicado.

Manter um plugin abandonado é arriscado. Você deve somente considerar mantê-lo se:

  • O plugin cumpre uma função crítica sem alternativas viáveis.
  • O fluxo de trabalho do seu negócio depende das funcionalidades personalizadas que ele oferece.
  • O plugin é relativamente simples, com uma área de código mínima (você pode ter um desenvolvedor revisando o código do plugin no GitHub).
  • Você testou completamente com a sua versão atual do WordPress e ele funciona bem.

Se todos esses elementos estiverem satisfeitos, você pode considerar manter o plugin. Mas nós ainda recomendamos encontrar uma maneira de manter o código com a ajuda de um desenvolvedor ou se livrar dele o quanto antes.

As Precauções de Segurança Extras que Deves Tomar

Se decidires manter aquele plugin abandonado, precisarás construir uma fortaleza ao redor dele.

  • Crie Um Firewall Específico Para O Plugin: Utilize plugins de segurança como Wordfence ou Sucuri para criar regras de firewall personalizadas visando vulnerabilidades potenciais no seu plugin abandonado. Eles atuam como sua primeira linha de defesa contra ataques que visam fraquezas conhecidas.
  • Implemente Auditorias Regulares De Código: Contrate um desenvolvedor para revisar periodicamente o código do plugin em busca de vulnerabilidades de segurança. Sim, isso custa dinheiro, mas é significativamente mais barato do que lidar com um site hackeado e suas consequências.
  • Configure Monitoramento Avançado: Configure alertas para qualquer atividade incomum relacionada ao plugin. A detecção precoce pode significar a diferença entre um problema menor e uma violação de segurança completa que derruba todo o seu site.
  • Isolamento Quando Possível: Se for viável, execute o plugin abandonado em um subdomínio separado ou ambiente, limitando seu acesso aos dados e funções sensíveis do seu site principal — pense nisso como uma zona de quarentena.

Passos Proativos Para Controlar a Saúde do Plugin 💪

Tão clichê quanto é, prevenir é melhor que remediar.

Aqui está como construir um ecossistema de plugins saudável que mantém o seu site WordPress seguro e com o melhor desempenho.

Agende Auditorias Regulares de Plugins

Considere isso como o check-up trimestral do seu site.

Marque seu calendário para uma revisão completa dos plugins a cada três meses. Durante essas auditorias, avalie o histórico recente de atualização de cada plugin, o status de compatibilidade e se você ainda realmente precisa dele.

Essa manutenção de rotina previne problemas com plugins antes deles começarem e mantém seu site enxuto.

Escolha Plugins Com Boas Referências

Nem todos os plugins são criados iguais. Ao adicionar novas ferramentas ao seu site, procure por estes indicadores saudáveis:

  • Atualizações regulares (pelo menos trimestrais)
  • Base de usuários grande e ativa (mais de 10.000 instalações)
  • Suporte ao desenvolvedor responsivo (verifique a rapidez com que as perguntas são respondidas)
  • Documentação detalhada e roteiro de desenvolvimento claro

Adote a Filosofia “Menos é Mais”

Seu site WordPress não é uma vitrine de coleção de Plugins. Cada Plugin adiciona código, complexidade e potenciais problemas de segurança.

Pergunte a si mesmo: “Este plugin resolve um problema real que tenho neste momento?”

Se não, não pertence ao seu site. Vise o número mínimo de plugins necessário para alcançar seus objetivos.

Configure Notificações de Atualização Automática

Mantenha-se informado sem a necessidade de verificar constantemente o painel de controle. Configure alertas de email para atualizações de plugin disponíveis através das ferramentas do seu host ou de um plugin de gerenciamento.

Estes alertas de email ajudam-te a manter o controlo de quaisquer atualizações críticas de segurança ou compatibilidade, mesmo quando estás ocupado a gerir o teu negócio.

Considere uma Solução de Hospedagem WordPress Gerenciada

Às vezes, é melhor simplesmente entregar as coisas a um profissional para que você possa trabalhar em seu negócio.

Serviços como DreamPress lidam com a maior parte da manutenção do WordPress, incluindo monitoramento de segurança e atualizações, e também ajudam caso algo quebre.

Seu Site Merece Mais Que Teias de Plugins

Como aquela árvore de Natal esquecida, os plugins abandonados podem ter sido úteis em algum momento — mas o tempo deles passou. Não podes arriscar a segurança e o desempenho do teu site WordPress com esses plugins abandonados.

Mas, nem todos têm o tempo ou a expertise técnica para monitorar plugins em busca de sinais de abandono.

DreamPress pode cuidar disso para ti. Ele gerencia atualizações do núcleo do WordPress, patches de segurança e backups do site automaticamente e oferece backups diários automáticos, cache embutido e suporte especializado em WordPress 24/7.

Ou seja, você se concentra em criar conteúdo e gerenciar seu negócio, enquanto o DreamPress garante a sua tranquilidade de que seu site está bem cuidado.

Então vá em frente — dê ao seu site WordPress a limpeza de primavera que ele merece, ou deixe que os profissionais da DreamPress cuidem disso para você.

Hosting WordPress

Hosting WordPress Inigualável

Soluções de hosting fiáveis e ultra-rápidas, especificamente otimizadas para WordPress.

Saiba Mais
Foto de Alejandro Granata

Alejandro Granata