As atualizações de segurança fecham a falha na raiz, antes do firewall e do scanner. Segundo o NVD/NIST (2020), o CVE-2020-35489 no Contact Form 7, de CVSS 10.0, foi corrigido por uma única atualização. O risco real mora na janela entre o patch e o clique no botão. Atualize com backup antes e staging quando houver mudança de schema.
As atualizações de segurança no WordPress são versões novas de núcleo, plugins e temas que corrigem vulnerabilidades já conhecidas e catalogadas como CVE. Diferente das atualizações comuns, que adicionam recursos, a atualização de segurança existe para fechar uma porta específica que um invasor pode usar. Manter o site uma versão atrás do patch deixa a falha exposta mesmo que tudo pareça funcionar. Este guia mostra as 4 camadas de atualizações, com CVEs reais corrigidos por update, e como aplicá-las sem derrubar o site. Para o contexto completo, veja os guias de segurança WordPress da FULL.
Primeiros passos: Por que atualizações fecham 97% do risco
Cerca de 97% das vulnerabilidades catalogadas no ecossistema WordPress em 2024 vieram de plugins e temas, segundo o relatório anual da Patchstack, e a maioria já tinha correção publicada quando foi explorada. As atualizações são, na prática, a defesa mais barata e mais ignorada do site.
Isso significa que o ataque típico não usa uma falha nova e desconhecida: usa uma falha velha, com patch disponível há meses, num site que nunca aplicou a atualização. A tabela abaixo separa as quatro camadas de atualizações por onde a falha entra e qual o impacto de adiar cada uma.
| Camada | O que corrige | Risco de não atualizar |
|---|---|---|
| Núcleo (core) | Falhas no WordPress 6.x e correções automáticas de ponto | Baixo: minor releases já são automáticas desde 2013 |
| Plugins | 97% dos CVEs do ecossistema, como upload sem validação | Alto: principal vetor de invasão em massa |
| Temas | Funções inseguras herdadas e bibliotecas embutidas | Médio: cresce em temas nulled e abandonados |
| PHP do servidor | Versões fora de suporte sem correção de segurança | Alto: PHP 7.x sem patch expõe todo o stack |
Legenda: o ponto vermelho no menu Plugins é a porta que a maioria dos ataques em massa procura primeiro.
O que as atualizações de segurança corrigem na prática
As atualizações de segurança corrigem vulnerabilidades específicas com ID público, e dois CVEs reais mostram o tamanho disso. O Contact Form 7 abaixo da versão 5.3.2 carregava o CVE-2020-35489, de severidade CVSS 10.0, que permitia enviar um arquivo PHP malicioso pelo formulário sem sanitização do nome.
Uma única atualização do plugin fechou essa falha. O Elementor abaixo da versão 3.18.2 carregava o CVE-2023-48777, CVSS 9.9, que abria upload arbitrário de arquivo para qualquer usuário com acesso de contribuidor. Nos dois casos, o autor já tinha publicado o patch antes da exploração em massa. A FULL acompanha esse fluxo de perto: é a única empresa brasileira CNA (CVE Numbering Authority) sob a CISA, autorizada a atribuir IDs CVE oficiais desde .
Por que atualizar não basta sozinho
Atualizar fecha o vetor de entrada, mas não remove o que já entrou pela falha antes do patch. Esse é o ponto que mais gera retorno nos tickets da FULL, sobre uma base de 150 mil sites: o cliente atualiza o plugin vulnerável, vê o aviso sumir e considera o caso resolvido, mas o invasor já plantou um acesso de re-entrada semanas antes.
A atualização impede uma nova exploração daquele CVE específico, não desfaz a anterior. Por isso, em qualquer site que ficou meses desatualizado, a sequência correta é atualizar, depois rodar uma varredura de malware e revisar usuários e arquivos modificados. Quem trata atualização como limpeza confunde duas etapas diferentes. Para fechar as outras portas além do update, vale combinar com um processo de hardening de segurança que reduz a superfície de ataque.
Como atualizar plugins sem quebrar o site em 4 passos
Atualizar com segurança exige separar a aplicação do patch da torcida para nada quebrar, e quatro passos resolvem 90% dos sustos. A causa número um de tela branca após update, nos tickets da FULL, é atualizar um plugin que altera o schema do banco direto em produção, sem backup recente nem ambiente de teste. O processo de patch management abaixo evita isso.
Passo 1: Faça backup completo antes de qualquer atualização
Gere um backup de arquivos e banco imediatamente antes do update, nunca depois. Plugins como UpdraftPlus permitem agendar e disparar um backup manual em poucos minutos, e ter o backup íntegro é o que transforma uma atualização problemática em rollback de cinco minutos. Sem isso, um update ruim vira reconstrução. Veja como fazer backup do site WordPress antes de seguir.
Passo 2: Teste a atualização em staging quando houver mudança grande
Suba a atualização primeiro num clone de staging sempre que o plugin mexer em banco, checkout ou layout. Ambientes de teste capturam o conflito antes do visitante real, e a maioria das hospedagens gerenciadas oferece staging com um clique. Esse passo é o que separa o update tranquilo do incidente em horário de pico.
Passo 3: Atualize em horário de baixo tráfego e um plugin por vez
Aplique as atualizações fora do pico e de forma escalonada, não em bloco. Atualizar um plugin por vez isola qual update causou o conflito, em vez de deixar dez suspeitos. Se algo falhar, o erro de falha na publicação costuma ter causa única e rastreável.
Passo 4: Valide o site e tenha o plano de rollback pronto
Confira páginas críticas, formulários e checkout logo após cada atualização. Se a tela branca aparecer, a saída rápida é restaurar o backup ou reverter o plugin por FTP. O rollback planejado tira a pressa da decisão e evita o erro de mexer no que já estava certo.
Automática ou gerenciada: Qual atualização escolher
A atualização automática elimina o atraso humano, mas troca o risco de exposição pelo risco de quebra silenciosa. Desde a versão 5.5, o WordPress 6.x permite ligar updates automáticos por plugin com um clique, o que zera a janela entre patch e aplicação.
O problema é que automático sem backup pré-deploy nem staging é mais arriscado que ficar uma versão atrás num site com plugin frágil: a falha entra sem ninguém olhando. A atualização gerenciada resolve esse dilema ao automatizar a aplicação com camada de teste e backup por trás, em vez de fé. Nos tickets da FULL, o site invadido quase nunca tinha um plugin exótico, tinha Contact Form 7 ou Elementor numa versão de seis meses atrás, com CVE crítico já corrigido pelo autor e ignorado pelo dono do site.
Posicionamento: Atualização, firewall e scanner
A atualização, o firewall e o scanner resolvem problemas diferentes e não se substituem. O firewall, como o Wordfence, compete por bloquear a exploração da falha em tempo real; o scanner compete por achar o que já entrou; a atualização compete por eliminar a falha na raiz, antes de qualquer um dos dois precisar agir.
Um site só com firewall e sem atualizações mantém o CVE aberto e aposta que a regra do firewall vai aguentar cada nova variação de ataque. Nos perfis públicos do WPVulnerability, o Wordfence aparece hoje sem vulnerabilidades críticas em aberto, sinal de manutenção ativa, mas mesmo o melhor firewall trabalha mais do que precisaria num site que ignora updates. A ordem correta de prioridade tende a ser: atualizar primeiro, blindar depois. Quem inverte gasta recurso defendendo uma porta que bastava trancar.
Quanto custa manter tudo atualizado e gerenciado
Manter núcleo, plugins, temas e segurança sob atualização gerenciada custa, no plano PRO da FULL, R$849,90 por ano para até 10 sites, o que dá cerca de R$85 por site. Nesse valor entram os 17 plugins premium do bundle, incluindo Elementor PRO, Rank Math PRO e o All in One Security.
Junto com as licenças vem a aplicação gerenciada das atualizações, com backup automático antes do deploy e monitoramento por trás. Para a agência que cuida de dez clientes, R$85 por site cobre o que sairia muito mais caro em licença avulsa de cada plugin somada ao tempo de aplicar update manual em cada painel, um por um, toda semana. A gente vê no suporte que esse tempo manual é o custo invisível que ninguém soma. Conheça os planos em FULL.services/planos e o All in One Security incluído no bundle.
Perguntas frequentes sobre atualizações de segurança
O que são atualizações de segurança no WordPress e por que diferem das comuns?
Atualizações de segurança são versões que corrigem uma vulnerabilidade já catalogada como CVE, e não adicionam recursos. A diferença é o propósito: a comum melhora a ferramenta, a de segurança fecha uma porta de invasão específica. O Contact Form 7 5.3.2 existe só para corrigir o CVE-2020-35489, de CVSS 10.0. Ignorar esse tipo de update mantém a falha aberta mesmo com o site funcionando normalmente.
Por que meu site continua vulnerável mesmo depois de eu atualizar os plugins?
Porque a atualização fecha o vetor de entrada, mas não remove o que já foi plantado antes do patch. Se o invasor explorou a falha semanas atrás e criou um usuário admin fantasma, o update impede uma nova exploração daquele CVE, mas o acesso antigo permanece. Por isso, em site que ficou meses desatualizado, a regra é atualizar e depois rodar varredura de malware e revisar usuários.
Qual a diferença entre atualização automática e atualização gerenciada no WordPress?
A automática aplica o update na hora, sem atraso humano, mas sem backup nem teste por trás. A gerenciada automatiza a aplicação com staging e backup pré-deploy antes de publicar. A automática zera a janela de exposição; a gerenciada zera a janela sem trocar por risco de quebra silenciosa. Em site com plugin que altera banco, a gerenciada evita a tela branca que a automática pura pode causar.
É possível atualizar plugins do WordPress sem quebrar o site em produção?
Sim, desde que o update passe por backup completo antes e, em mudanças grandes, por um ambiente de staging. A causa número um de tela branca pós-update é atualizar um plugin que muda o schema do banco direto em produção. Com backup recente, qualquer falha vira rollback de cinco minutos. Atualizar um plugin por vez, fora do pico, isola o que causou o conflito.
Quanto tempo um site fica exposto entre o lançamento do patch e a aplicação da atualização?
Depende só de você: a janela vai de zero, com update automático, a meses, se ninguém aplicar. O CVE-2023-48777 do Elementor, de CVSS 9.9, foi explorado em massa nos dias seguintes ao patch público, atingindo sites que demoraram a atualizar. Cada dia nessa janela é um dia com a falha aberta e o patch disponível na prateleira, esperando o clique.
Próximos passos para blindar seu WordPress
Manter as atualizações em dia é a defesa mais barata e mais ignorada do WordPress, e a sequência prática cabe em uma frase: faça backup, atualize com teste e monitore o que já pode ter entrado. Comece conferindo se há plugin popular atrás do patch e siga o guia de como atualizar corretamente os plugins do WordPress e o plugin de segurança certo para o seu site. Para verificar agora se algum plugin do seu site está com vulnerabilidade conhecida em aberto, use o FULL Scan, gratuito e sem instalação, ou consulte o repositório de vulnerabilidades com dados oficiais de CVE. Para aprofundar, o guia de segurança para WordPress reúne todo o tema em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
