# Como verificar vulnerabilidades WordPress

<strong>Verificar vulnerabilidades WordPress</strong> exige cruzar a versão instalada de cada plugin com bases de CVE oficiais. Segundo o <a href="https://wpscan.com/statistics/">WPScan (2025)</a>, 90% das falhas vêm de plugins, 6% de temas e 4% do core. A diferença que importa é risco atual sem patch versus CVE histórica já corrigida. Comece auditando plugins desatualizados hoje.

Verificar vulnerabilidades no WordPress é o processo de listar plugins, temas e o core instalados, comparar cada versão com bases públicas de CVE e isolar o que está sem correção. A maioria dos sites invadidos não cai por uma falha exótica: cai por um plugin parado em uma versão que já tem patch publicado há meses. No suporte da FULL, a gente vê esse padrão se repetir em sites que rodam um único plugin abandonado. Este guia mostra como fazer essa verificação de forma manual e com ferramentas, usando CVEs reais como referência. O hub de <a href="https://full.services/vulnerabilidades-wordpress/">conteúdos de vulnerabilidades WordPress da FULL</a> reúne o contexto completo do tema.

---

## Primeiros passos: Visão geral da verificação

Verificar vulnerabilidades começa por um inventário: você precisa saber exatamente qual versão de cada plugin, tema e do core está rodando antes de comparar com qualquer base de CVE. Em um site WordPress médio com 25 plugins, basta um único componente desatualizado para abrir a porta. A tabela abaixo resume as três frentes de verificação e o que cada uma entrega como sinal concreto de risco.

<table id="etapas-verificar-vulnerabilidades">
  <caption>Verificar vulnerabilidades WordPress: frentes, objetivo e validação</caption>
  <thead>
    <tr>
      <th scope="col">Frente</th>
      <th scope="col">Objetivo</th>
      <th scope="col">Check de validação</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Inventário de versões</th>
      <td>Listar versão exata de plugins, temas e core</td>
      <td>Lista batida contra Painel e Atualizações</td>
    </tr>
    <tr>
      <th scope="row">Scan de CVE</th>
      <td>Cruzar versões com WPScan, Patchstack e NVD</td>
      <td>Relatório com CVE-ID, CVSS e versão de patch</td>
    </tr>
    <tr>
      <th scope="row">Plugins abandonados</th>
      <td>Achar componentes sem update há mais de 12 meses</td>
      <td>Data do último release no WordPress.org</td>
    </tr>
  </tbody>
</table>

Quem escreve aqui sobre vulnerabilidade literalmente cataloga vulnerabilidade: a FULL é a única empresa brasileira reconhecida como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais. Esse contexto define o rigor deste tutorial.

---

## O que é uma vulnerabilidade no WordPress

Uma <a href="https://full.services/glossario/vulnerabilidade-wordpress/">vulnerabilidade no WordPress</a> é uma falha de código em plugin, tema ou core que permite a um atacante executar ação não autorizada, como injetar script ou ler o banco de dados sem permissão. Cada falha confirmada recebe um <a href="https://full.services/glossario/cve/">identificador CVE</a> e uma nota <a href="https://full.services/glossario/cvss/">CVSS</a> de 0 a 10 que mede a gravidade técnica daquela brecha.

Segundo o perfil público do WPVulnerability, o Elementor acumula 61 CVEs ao longo dos anos, das quais 3 críticas. Isso não significa que o Elementor seja inseguro hoje: a maioria absoluta já tem patch, e um histórico grande de CVEs corrigidas costuma indicar manutenção ativa e auditoria constante, não abandono. O que importa na verificação é separar o que está sem correção agora do que já foi resolvido em versões anteriores do plugin. Por isso, ler só o número total de CVEs leva a conclusão errada: o sinal de risco real é a CVE aberta sem patch cruzando a sua versão.

---

## Como verificar vulnerabilidades WordPress passo a passo

O método manual mais confiável segue quatro passos e leva cerca de 20 minutos em um site com 20 a 30 plugins. Você levanta as versões instaladas, consulta as bases de CVE, confronta a versão afetada com a sua e aplica o patch. Cada passo abaixo é um H3 dentro deste procedimento; siga na ordem, porque pular o inventário leva a falso negativo.

### Liste as versões instaladas com WP-CLI

Use o WP-CLI para extrair a versão exata de cada componente sem depender da interface. O comando `wp plugin list --fields=name,version,update,status` devolve, em segundos, a lista completa com a coluna `update` indicando quem tem versão mais nova disponível. Para o core, `wp core version` retorna a build em uso. Em um servidor com 30 plugins, isso substitui a checagem visual tela a tela e elimina o erro de ler a versão errada. Guarde a saída em um arquivo: ela é a base de comparação dos próximos passos.

### Consulte as bases de CVE oficiais

Com a lista em mãos, consulte três bases complementares: o WPScan Vulnerability DB, o Patchstack e a NVD do NIST. O WPScan indexa mais de 51 mil vulnerabilidades específicas de WordPress e aceita busca por nome de plugin. O Patchstack catalogou, segundo seu relatório anual, mais de 64 mil vulnerabilidades do ecossistema. A NVD é a fonte primária do governo dos EUA para qualquer CVE. Cruze o nome do plugin nas três e anote cada CVE-ID retornado junto da versão afetada.

### Confronte versão afetada com versão instalada

Aqui mora o erro mais comum: tratar toda CVE listada como risco atual. Cada CVE traz um campo de versão afetada, por exemplo "afeta menor que 5.3.2". Se o seu Contact Form 7 já está em 5.9, a <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489" rel="noopener" target="_blank">CVE-2020-35489</a> (CVSS 10.0, upload arbitrário de arquivo corrigido em 5.3.2) é histórica, não risco de hoje. O risco real é a interseção entre CVE sem patch e a sua versão instalada. Marque em vermelho só o que cruza essas duas condições ao mesmo tempo.

### Aplique o patch e revalide

Atualize cada plugin que cruzou a verificação para a versão de patch indicada na CVE. Depois de atualizar, rode o inventário de novo e confirme que a coluna `update` está limpa. Para um passo a passo seguro de atualização sem quebrar o layout, consulte o guia de <a href="https://full.services/como-atualizar-corretamente-os-plugins-do-wordpress/">como atualizar corretamente os plugins do WordPress</a>. Revalidar é o que fecha o ciclo: sem reexecutar o scan, você não tem prova de que a falha sumiu de fato.

---

## Ferramentas para escanear vulnerabilidades automaticamente

Quatro ferramentas cobrem o escaneamento automático sem depender de checagem manual. O Wordfence faz scan de arquivos e compara com seu banco de assinaturas; o All in One Security reforça login e firewall; o WPScan roda via linha de comando contra a API de CVEs; e o FULL Scan analisa o site externamente sem instalar nada no servidor.

Segundo o perfil público do WPVulnerability, o próprio Wordfence acumula 34 CVEs históricas, todas corrigidas, com risco atual classificado como seguro: prova de que ferramenta de segurança bem mantida fecha as próprias brechas em vez de acumular dívida técnica. Para a configuração detalhada passo a passo, veja <a href="https://full.services/wordfence-configuracao/">como configurar o Wordfence</a> e o comparativo de <a href="https://full.services/plugin-seguranca-wordpress/">plugins de segurança WordPress</a> que cobre os trade-offs de cada opção.

<p class="wp-caption-text">Legenda: o relatório de scan mostra a versão afetada ao lado do patch disponível, exatamente o cruzamento que define o risco atual.</p>

---

## Erros comuns ao verificar vulnerabilidades

O erro que mais aparece no suporte da FULL é confundir volume histórico de CVE com risco atual. Um plugin com 61 CVEs corrigidas é mais seguro que um plugin sem CVE nenhum e sem update há dois anos, porque o segundo simplesmente nunca foi auditado por ninguém.

Outro erro é ignorar plugins abandonados sem CVE registrado: a ausência de CVE não é certificado de segurança, é só ausência de pesquisa. Um plugin parado há 18 meses no WordPress.org, mesmo sem CVE, é um risco silencioso que nenhum scanner aponta. O terceiro erro é escanear só o core e esquecer temas: a <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-48777" rel="noopener" target="_blank">CVE-2023-48777</a> do Elementor (CVSS 9.9, corrigida em 3.18.2) mostra que add-ons de página carregam falhas críticas tão graves quanto o core, e por isso entram no mesmo inventário de versões.

---

## Audite a sua base com o plano certo

Verificar um site manualmente é viável; verificar dez ou cinquenta sob gestão de agência, não. O plano PRO da FULL, por R$849,90 ao ano, inclui as ferramentas de segurança no bundle de 16 plugins, com a camada Wordfence e o monitoramento contínuo de CVE já ativados desde a instalação.

Diluído pela cobertura de até 10 sites, isso sai por cerca de R$85 por site ao ano, contra a soma das licenças avulsas de cada plugin de segurança comprado separado, que individualmente já passariam desse valor. Para quem gerencia carteira, a economia real não está só no preço: está em transformar auditoria pontual em rotina automática que roda sem depender de lembrete manual. Conheça as opções em <a href="https://full.services/planos">FULL.services/planos</a> e ative a camada gerenciada sem montar o stack peça por peça.

---

## Como validar que a verificação foi completa

A verificação está completa quando três condições batem ao mesmo tempo: inventário fechado, scan rodado nas três bases de CVE e zero falha sem patch cruzando a versão instalada de cada plugin ativo no site. Sem as três, o diagnóstico fica incompleto.

Um site WordPress só pode se declarar verificado quando o relatório do scanner não retorna nenhuma falha aberta nos plugins ativos, nem alerta de plugin abandonado. Para uma auditoria mais profunda, com checagem de permissões de arquivo e hardening do servidor, siga o roteiro de <a href="https://full.services/como-fazer-uma-auditoria-completa-de-seguranca-no-seu-wordpress/">auditoria completa de segurança no WordPress</a>. Rode o <a href="https://security.full.services">FULL Scan</a> gratuito para confirmar externamente o resultado e cruze com o <a href="https://security.full.services/vulnerabilidades-no-wordpress">repositório de vulnerabilidades</a> da FULL, alimentado por dados oficiais de CVE.

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia da verificação</h2>
<p>Os CVEs citados neste guia foram extraídos entre <time datetime="2026-05">maio</time> e <time datetime="2026-06">junho de 2026</time> do perfil público do WPVulnerability e confirmados na NVD do NIST, fonte primária do governo dos EUA para qualquer identificador CVE oficial.</p>
<p>Cada CVE foi classificado por risco atual, que considera apenas falhas sem patch e divulgações recentes, e não pelo total histórico acumulado ao longo dos anos. O recorte distingue CVE histórica já corrigida de exposição ativa hoje, que é o que de fato expõe o site. As versões de patch indicadas refletem o campo oficial de versão corrigida de cada CVE, e os comandos de inventário foram validados em WordPress 6.x com WP-CLI 2.x sobre PHP 8.2 em ambiente real de produção.</p>
</aside>

---

<h2 id="faq">Perguntas frequentes sobre verificação de vulnerabilidades WordPress</h2>

<details>
<summary>É possível verificar vulnerabilidades sem instalar plugin no site?</summary>
<p>Sim. Scanners externos como o FULL Scan analisam o site pela URL pública e identificam versões expostas de plugins e temas sem instalar nada. Essa abordagem evita adicionar mais código ao site e funciona mesmo quando você não tem acesso ao wp-admin. A limitação é que o scan externo não enxerga plugins desativados nem arquivos fora do alcance público, então ele complementa, mas não substitui, o inventário interno via WP-CLI.</p>
</details>

<details>
<summary>Por que um plugin com muitos CVEs pode ser mais seguro que um sem nenhum?</summary>
<p>Porque CVE registrada significa que o plugin foi auditado e a falha foi corrigida com patch público. O Elementor tem 61 CVEs no histórico, quase todas corrigidas, o que indica manutenção ativa. Um plugin sem CVE e sem atualização há 18 meses não é seguro: ele apenas nunca foi pesquisado. A ausência de CVE é ausência de dado, não prova de segurança real.</p>
</details>

<details>
<summary>Qual a diferença entre CVSS e o risco atual de uma CVE?</summary>
<p>O CVSS é a nota de gravidade de 0 a 10 que mede o potencial de dano de uma falha isolada. O risco atual considera se existe patch e se a sua versão instalada ainda é afetada. Uma CVE com CVSS 10.0, como a CVE-2020-35489 do Contact Form 7, é risco zero hoje se você já roda a versão 5.9, porque o patch saiu na 5.3.2. Gravidade e exposição são medidas diferentes.</p>
</details>

<details>
<summary>Como verificar se um tema do WordPress tem vulnerabilidade conhecida?</summary>
<p>Busque o nome exato do tema no WPScan e no Patchstack, que indexam temas além de plugins. Anote a versão instalada via WP-CLI com o comando que lista temas e cruze com a versão afetada de cada CVE retornada. Temas premium parados em versões antigas concentram risco, e add-ons de página como Elementor entram nessa mesma checagem por carregarem CVEs próprias.</p>
</details>

<details>
<summary>Com que frequência devo verificar vulnerabilidades em um site WordPress?</summary>
<p>O ideal é scan semanal automatizado mais verificação manual a cada atualização relevante de plugin. Sites de e-commerce ou com muitos plugins merecem monitoramento contínuo, já que novas CVEs surgem toda semana. Ferramentas como o Wordfence agendam o scan, e o monitoramento gerenciado do bundle FULL roda a verificação sem depender de você lembrar de executar manualmente.</p>
</details>

---

## Próximos passos para blindar seu WordPress

Verificar vulnerabilidades WordPress deixa de ser tarefa pontual quando vira rotina: inventário de versões, scan nas bases de CVE, cruzamento com a versão instalada e patch imediato do que estiver sem correção. O ponto que separa um diagnóstico amador de um profissional é distinguir CVE histórica corrigida de exposição ativa, e nunca tratar plugin sem CVE como plugin seguro. Para aprofundar, o guia de <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">segurança para WordPress</a> reúne o passo a passo de hardening, e o <a href="https://full.services/seguranca-wordpress-guia/">guia de segurança WordPress</a> cobre o contexto além das CVEs. Para continuar aprendendo, o <a href="https://full.services/academy/">FULL Academy</a> reúne todos os tutoriais e guias em um só lugar.