Changeset 3391428

Timestamp:

11/06/2025 08:39:22 PM (5 weeks ago)

Author:

wpfastsec

Message:

Update 1.3.0

• CVE Analise

Location:

ht-security

Files:

• tags/1.3.0 (added)
• tags/1.3.0/ht-security.php (added)
• tags/1.3.0/readme.txt (added)
• tags/1.3.0/security.txt (added)
• trunk/ht-security.php (modified) (7 diffs)
• trunk/readme.txt (modified) (7 diffs)

ht-security/trunk/ht-security.php

@@ -3 +3 @@
 Plugin Name: HT Security
 Description: Suite de Segurança completa: Cabeçalhos de segurança, alertas por e-mail, verificação do Core, bloqueio de enumeração de usuários, modo de manutenção e auditoria de permissões.
-Version: 1.2.0
+Version: 1.3.0
 Requires at least: 6.5
 Requires PHP: 8.2
@@ -72 +72 @@
         'default'           => '',
     ] );
+    register_setting( 'htsec_settings_group', 'htsec_nvd_api_key', [
+        'type'              => 'string',
+        'sanitize_callback' => 'sanitize_text_field',
+        'default'           => '',
+    ] );
+    register_setting( 'htsec_settings_group', 'htsec_enable_cve_alerts', [
+        'type'              => 'boolean',
+        'sanitize_callback' => 'rest_sanitize_boolean',
+        'default'           => 0,
+    ] );
+    register_setting( 'htsec_settings_group', 'htsec_show_plugin_badges', [
+        'type'              => 'boolean',
+        'sanitize_callback' => 'rest_sanitize_boolean',
+        'default'           => 1,
+    ] );
 
     add_settings_section(
@@ -175 +190 @@
         'htsec_main_section'
     );
+
+    add_settings_field(
+        'htsec_nvd_api_key',
+        esc_html__( 'API Key NVD (Opcional)', 'ht-security' ),
+        function() {
+            $value = get_option( 'htsec_nvd_api_key', '' );
+            printf(
+                '<input type="text" name="htsec_nvd_api_key" value="%s" class="regular-text">',
+                esc_attr( $value )
+            );
+            echo '<p class="description">' . esc_html__( 'API Key do National Vulnerability Database. Sem API Key: 5 requisições/30s. Com API Key: 50 requisições/30s.', 'ht-security' ) . '</p>';
+            echo '<p class="description">' . esc_html__( 'Obtenha sua API Key em: https://nvd.nist.gov/developers/request-an-api-key', 'ht-security' ) . '</p>';
+        },
+        'ht-security',
+        'htsec_main_section'
+    );
+
+    add_settings_field(
+        'htsec_enable_cve_alerts',
+        esc_html__( 'Alertas de Vulnerabilidades', 'ht-security' ),
+        function() {
+            $value = get_option( 'htsec_enable_cve_alerts', 0 );
+            printf(
+                '<input type="checkbox" name="htsec_enable_cve_alerts" value="1" %s> %s',
+                checked( 1, $value, false ),
+                esc_html__( 'Enviar e-mail quando vulnerabilidades CVE forem detectadas', 'ht-security' )
+            );
+            echo '<p class="description">' . esc_html__( 'Verificação automática a cada 12 horas.', 'ht-security' ) . '</p>';
+        },
+        'ht-security',
+        'htsec_main_section'
+    );
+
+    add_settings_field(
+        'htsec_show_plugin_badges',
+        esc_html__( 'Indicadores na Página de Plugins', 'ht-security' ),
+        function() {
+            $value = get_option( 'htsec_show_plugin_badges', 1 );
+            printf(
+                '<input type="checkbox" name="htsec_show_plugin_badges" value="1" %s> %s',
+                checked( 1, $value, false ),
+                esc_html__( 'Exibir badges de segurança na página de plugins', 'ht-security' )
+            );
+            echo '<p class="description">' . esc_html__( 'Mostra indicadores verdes/vermelhos em cada plugin indicando status de vulnerabilidades.', 'ht-security' ) . '</p>';
+        },
+        'ht-security',
+        'htsec_main_section'
+    );
 }
 
@@ -191 +254 @@
 
 /**
+ * Adiciona estilos CSS personalizados na página de administração.
+ */
+add_action( 'admin_head', 'htsec_admin_styles' );
+function htsec_admin_styles() {
+    $screen = get_current_screen();
+    if ( isset( $screen->id ) && 'settings_page_ht-security' === $screen->id ) {
+        ?>
+        <style>
+            .htsec-alert-success {
+                padding: 15px;
+                background-color: #d4edda;
+                border: 1px solid #c3e6cb;
+                border-radius: 4px;
+                margin: 20px 0;
+            }
+            .htsec-alert-success p {
+                margin: 0;
+                color: #155724;
+                font-weight: bold;
+            }
+            .htsec-alert-danger {
+                padding: 15px;
+                background-color: #f8d7da;
+                border: 1px solid #f5c6cb;
+                border-radius: 4px;
+                margin: 20px 0;
+            }
+            .htsec-alert-danger p {
+                margin: 0;
+                color: #721c24;
+                font-weight: bold;
+            }
+            .htsec-vuln-card {
+                border: 1px solid #dee2e6;
+                border-radius: 8px;
+                padding: 20px;
+                margin-bottom: 15px;
+                background-color: #fff;
+                box-shadow: 0 2px 4px rgba(0,0,0,0.1);
+                transition: box-shadow 0.3s ease;
+            }
+            .htsec-vuln-card:hover {
+                box-shadow: 0 4px 8px rgba(0,0,0,0.15);
+            }
+            .htsec-vuln-header {
+                display: flex;
+                justify-content: space-between;
+                align-items: flex-start;
+                margin-bottom: 15px;
+                flex-wrap: wrap;
+                gap: 10px;
+            }
+            .htsec-vuln-title {
+                margin: 0;
+                font-size: 16px;
+                color: #333;
+            }
+            .htsec-severity-badge {
+                padding: 6px 14px;
+                border-radius: 4px;
+                font-size: 12px;
+                font-weight: bold;
+                text-transform: uppercase;
+                letter-spacing: 0.5px;
+            }
+            .htsec-vuln-detail {
+                margin-bottom: 12px;
+            }
+            .htsec-vuln-detail strong {
+                color: #555;
+            }
+            .htsec-vuln-description {
+                background-color: #f8f9fa;
+                padding: 12px;
+                border-left: 3px solid #007cba;
+                margin-top: 5px;
+                color: #666;
+                line-height: 1.6;
+            }
+            .htsec-cve-link {
+                color: #007cba;
+                text-decoration: none;
+                font-weight: 500;
+            }
+            .htsec-cve-link:hover {
+                text-decoration: underline;
+            }
+            .htsec-cvss-score {
+                background-color: #e9ecef;
+                padding: 2px 8px;
+                border-radius: 3px;
+                font-family: monospace;
+                font-weight: bold;
+            }
+            .htsec-check-info {
+                background-color: #f0f6fc;
+                border-left: 4px solid #0969da;
+                padding: 12px 16px;
+                margin: 20px 0;
+            }
+            .htsec-progress-item {
+                padding: 8px 12px;
+                background-color: #f8f9fa;
+                border-left: 3px solid #0969da;
+                margin-bottom: 8px;
+                font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, "Helvetica Neue", Arial, sans-serif;
+                font-size: 13px;
+            }
+            .htsec-stats-box {
+                background-color: #fff;
+                border: 1px solid #ddd;
+                border-radius: 4px;
+                padding: 15px;
+                margin: 15px 0;
+            }
+            .htsec-stats-box strong {
+                color: #0073aa;
+            }
+            #htsec-feedback-section {
+                background-color: #fff;
+                border: 1px solid #ddd;
+                border-radius: 4px;
+                padding: 20px;
+                margin: 20px 0;
+            }
+            #htsec-feedback-form textarea {
+                width: 100%;
+                border: 1px solid #ddd;
+                border-radius: 4px;
+                padding: 10px;
+                font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, "Helvetica Neue", Arial, sans-serif;
+                resize: vertical;
+            }
+            #htsec-feedback-form textarea:focus {
+                border-color: #0073aa;
+                outline: none;
+                box-shadow: 0 0 0 1px #0073aa;
+            }
+            .htsec-feedback-success {
+                padding: 12px 15px;
+                background-color: #d4edda;
+                border: 1px solid #c3e6cb;
+                border-radius: 4px;
+                color: #155724;
+            }
+            .htsec-feedback-error {
+                padding: 12px 15px;
+                background-color: #f8d7da;
+                border: 1px solid #f5c6cb;
+                border-radius: 4px;
+                color: #721c24;
+            }
+            #htsec-send-feedback-btn:disabled,
+            #htsec-send-feedback-btn.disabled {
+                opacity: 0.6;
+                cursor: not-allowed;
+            }
+        </style>
+        <?php
+    }
+}
+
+/**
+ * Adiciona JavaScript para o formulário de feedback.
+ */
+add_action( 'admin_footer', 'htsec_feedback_script' );
+function htsec_feedback_script() {
+    $screen = get_current_screen();
+    if ( isset( $screen->id ) && 'settings_page_ht-security' === $screen->id ) {
+        ?>
+        <script type="text/javascript">
+        jQuery(document).ready(function($) {
+            // Mostrar formulário de feedback
+            $('#htsec-show-feedback-btn').on('click', function() {
+                $('#htsec-feedback-form').slideDown();
+                $(this).hide();
+                $('#htsec-feedback-message').focus();
+            });
+
+            // Cancelar feedback
+            $('#htsec-cancel-feedback-btn').on('click', function() {
+                $('#htsec-feedback-form').slideUp();
+                $('#htsec-show-feedback-btn').show();
+                $('#htsec-feedback-message').val('');
+                $('#htsec-feedback-response').html('');
+            });
+
+            // Enviar feedback
+            $('#htsec-send-feedback-btn').on('click', function() {
+                var $btn = $(this);
+                var $textarea = $('#htsec-feedback-message');
+                var $response = $('#htsec-feedback-response');
+                var message = $textarea.val().trim();
+
+                // Validar mensagem
+                if (message === '') {
+                    $response.html('<div class="htsec-feedback-error"><?php echo esc_js( __( 'Por favor, digite uma mensagem antes de enviar.', 'ht-security' ) ); ?></div>');
+                    return;
+                }
+
+                if (message.length < 10) {
+                    $response.html('<div class="htsec-feedback-error"><?php echo esc_js( __( 'A mensagem deve ter pelo menos 10 caracteres.', 'ht-security' ) ); ?></div>');
+                    return;
+                }
+
+                // Desabilitar botão e textarea
+                $btn.prop('disabled', true).text('<?php echo esc_js( __( 'Enviando...', 'ht-security' ) ); ?>');
+                $textarea.prop('disabled', true);
+                $response.html('');
+
+                // Enviar via AJAX
+                $.post(ajaxurl, {
+                    action: 'htsec_send_feedback',
+                    message: message,
+                    nonce: '<?php echo esc_js( wp_create_nonce( 'htsec_send_feedback' ) ); ?>'
+                }, function(response) {
+                    if (response.success) {
+                        $response.html('<div class="htsec-feedback-success">' + response.data.message + '</div>');
+                        $textarea.val('');
+
+                        // Ocultar formulário após 3 segundos
+                        setTimeout(function() {
+                            $('#htsec-feedback-form').slideUp();
+                            $('#htsec-show-feedback-btn').show();
+                            $response.html('');
+                        }, 3000);
+                    } else {
+                        $response.html('<div class="htsec-feedback-error">' + response.data.message + '</div>');
+                    }
+                }).fail(function() {
+                    $response.html('<div class="htsec-feedback-error"><?php echo esc_js( __( 'Erro ao enviar feedback. Por favor, tente novamente mais tarde.', 'ht-security' ) ); ?></div>');
+                }).always(function() {
+                    // Reabilitar botão e textarea
+                    $btn.prop('disabled', false).text('<?php echo esc_js( __( 'Enviar Feedback', 'ht-security' ) ); ?>');
+                    $textarea.prop('disabled', false);
+                });
+            });
+        });
+        </script>
+        <?php
+    }
+}
+
+/**
  * Renderiza a página de configurações e faz a verificação de integridade do Core via API.
  */
@@ -252 +559 @@
     submit_button();
     echo '</form>';
-    
+
+    // Seção de Feedback
+    echo '<div id="htsec-feedback-section" style="margin-top: 40px;">';
+    echo '<h2>' . esc_html__( 'Enviar Feedback', 'ht-security' ) . '</h2>';
+    echo '<p class="description">' . esc_html__( 'Tem alguma sugestão, encontrou um bug ou quer compartilhar sua experiência? Envie-nos seu feedback!', 'ht-security' ) . '</p>';
+
+    echo '<div id="htsec-feedback-form-container" style="margin-top: 20px;">';
+    echo '<button type="button" id="htsec-show-feedback-btn" class="button button-secondary">';
+    echo esc_html__( 'Abrir Formulário de Feedback', 'ht-security' );
+    echo '</button>';
+
+    echo '<div id="htsec-feedback-form" style="display: none; margin-top: 15px; max-width: 600px;">';
+    echo '<textarea id="htsec-feedback-message" rows="6" class="large-text" placeholder="' . esc_attr__( 'Digite seu feedback aqui...', 'ht-security' ) . '"></textarea>';
+    echo '<div style="margin-top: 10px;">';
+    echo '<button type="button" id="htsec-send-feedback-btn" class="button button-primary">' . esc_html__( 'Enviar Feedback', 'ht-security' ) . '</button>';
+    echo ' <button type="button" id="htsec-cancel-feedback-btn" class="button button-secondary">' . esc_html__( 'Cancelar', 'ht-security' ) . '</button>';
+    echo '</div>';
+    echo '<div id="htsec-feedback-response" style="margin-top: 15px;"></div>';
+    echo '</div>';
+    echo '</div>';
+    echo '</div>';
+
+    // Verificação de Vulnerabilidades CVE
+    echo '<div id="cve-check">';
+    echo '<h2>' . esc_html__( 'Verificação de Vulnerabilidades (CVE)', 'ht-security' ) . '</h2>';
+    htsec_display_cve_check();
+    echo '</div>';
+
     // Auditoria de Permissões de Arquivos
     echo '<h2>' . esc_html__( 'Auditoria de Permissões de Arquivos', 'ht-security' ) . '</h2>';
     htsec_display_file_permissions_audit();
-    
+
     echo '</div>';
 }
@@ -491 +825 @@
         return;
     }
-    
+
     if ( current_user_can( 'manage_options' ) ) {
         return;
     }
-    
+
     $allowed_ips = get_option( 'htsec_maintenance_ips', '' );
     $allowed_ips = array_filter( array_map( 'trim', explode( "\n", $allowed_ips ) ) );
     $current_ip = sanitize_text_field( wp_unslash( $_SERVER['REMOTE_ADDR'] ?? '' ) );
-    
+
     if ( ! empty( $allowed_ips ) && in_array( $current_ip, $allowed_ips, true ) ) {
         return;
     }
-    
+
     $request_uri = isset( $_SERVER['REQUEST_URI'] ) ? sanitize_text_field( wp_unslash( $_SERVER['REQUEST_URI'] ) ) : '';
-    
+
     if ( ! is_admin() && ! strpos( $request_uri, '/wp-login.php' ) ) {
         wp_die(
@@ -514 +848 @@
     }
 }
+
+/**
+ * Exibe a verificação de vulnerabilidades CVE.
+ */
+function htsec_display_cve_check() {
+    // Informação sobre a funcionalidade
+    $api_key = get_option( 'htsec_nvd_api_key', '' );
+    $rate_limit = empty( $api_key ) ? 5 : 50;
+
+    echo '<div class="htsec-check-info">';
+    echo '<p style="margin: 0 0 10px 0;">' . esc_html__( 'Esta funcionalidade verifica se há vulnerabilidades conhecidas (CVEs) nas versões instaladas do WordPress e plugins ativos.', 'ht-security' ) . '</p>';
+    /* translators: %d: Number of requests allowed per 30 seconds */
+    echo '<p style="margin: 0;"><strong>' . sprintf( esc_html__( 'Limite atual: %d verificações a cada 30 segundos', 'ht-security' ), esc_html( $rate_limit ) ) . '</strong></p>';
+    echo '</div>';
+
+    // Botão para forçar verificação manual
+    if ( isset( $_POST['htsec_check_cve_now'] ) && isset( $_POST['htsec_cve_nonce'] ) && wp_verify_nonce( sanitize_text_field( wp_unslash( $_POST['htsec_cve_nonce'] ) ), 'htsec_check_cve' ) ) {
+        // Limpar progresso anterior
+        delete_option( 'htsec_check_progress' );
+
+        echo '<div class="notice notice-info" style="position: relative;">';
+        echo '<p><strong>' . esc_html__( 'Verificação em andamento...', 'ht-security' ) . '</strong></p>';
+        echo '</div>';
+
+        // Forçar flush do output para mostrar a mensagem
+        if ( function_exists( 'wp_ob_end_flush_all' ) ) {
+            wp_ob_end_flush_all();
+        }
+        flush();
+
+        $stats = htsec_check_vulnerabilities( true );
+
+        // Exibir progresso
+        $progress = get_option( 'htsec_check_progress', [] );
+        if ( ! empty( $progress ) ) {
+            echo '<div class="notice notice-info">';
+            echo '<p><strong>' . esc_html__( 'Progresso da Verificação:', 'ht-security' ) . '</strong></p>';
+            echo '<div style="margin: 10px 0;">';
+            foreach ( $progress as $entry ) {
+                echo '<div class="htsec-progress-item">' . esc_html( $entry['message'] ) . '</div>';
+            }
+            echo '</div>';
+            echo '</div>';
+        }
+
+        // Limpar progresso após exibir
+        delete_option( 'htsec_check_progress' );
+
+        echo '<div class="notice notice-success">';
+        echo '<p><strong>' . esc_html__( 'Verificação concluída!', 'ht-security' ) . '</strong></p>';
+        echo '<div class="htsec-stats-box">';
+        /* translators: %d: Total items checked */
+        echo '<p style="margin: 0 0 8px 0;"><strong>' . esc_html__( 'Estatísticas:', 'ht-security' ) . '</strong></p>';
+        /* translators: %d: Number of software items */
+        echo '<p style="margin: 0 0 5px 0;">• ' . sprintf( esc_html__( 'Softwares verificados: %d', 'ht-security' ), esc_html( $stats['total_checked'] ) ) . '</p>';
+        /* translators: %d: Number of batches */
+        echo '<p style="margin: 0 0 5px 0;">• ' . sprintf( esc_html__( 'Lotes processados: %d', 'ht-security' ), esc_html( $stats['batches_processed'] ) ) . '</p>';
+        /* translators: %d: Number of vulnerabilities */
+        echo '<p style="margin: 0;">• ' . sprintf( esc_html__( 'Vulnerabilidades encontradas: %d', 'ht-security' ), esc_html( $stats['vulnerabilities_found'] ) ) . '</p>';
+        echo '</div>';
+        echo '</div>';
+    }
+
+    // Obter dados de vulnerabilidades armazenados
+    $vulnerabilities = get_option( 'htsec_vulnerabilities', [] );
+    $last_check = get_option( 'htsec_last_cve_check', 0 );
+
+    if ( $last_check ) {
+        $time_diff = human_time_diff( $last_check, current_time( 'timestamp' ) );
+        /* translators: %s: Time since last check */
+        echo '<p class="description">' . sprintf( esc_html__( 'Última verificação: %s atrás', 'ht-security' ), esc_html( $time_diff ) ) . '</p>';
+    } else {
+        echo '<p class="description">' . esc_html__( 'Nenhuma verificação realizada ainda. Clique no botão abaixo para verificar agora.', 'ht-security' ) . '</p>';
+    }
+
+    // Exibir estatísticas
+    if ( ! function_exists( 'get_plugins' ) ) {
+        require_once ABSPATH . 'wp-admin/includes/plugin.php';
+    }
+    $active_plugins = get_option( 'active_plugins', [] );
+    $total_to_check = count( $active_plugins ) + 1; // +1 para WordPress
+    $batches_needed = ceil( $total_to_check / $rate_limit );
+
+    if ( $batches_needed > 1 ) {
+        $estimated_time = ( $batches_needed - 1 ) * 30; // 30 segundos entre batches
+        echo '<p class="description">';
+        echo sprintf(
+            /* translators: 1: Number of batches, 2: Estimated time in seconds */
+            esc_html__( 'Esta verificação será dividida em %1$d lote(s). Tempo estimado: ~%2$d segundos', 'ht-security' ),
+            esc_html( $batches_needed ),
+            esc_html( $estimated_time )
+        );
+        echo '</p>';
+    }
+
+    // Exibir resultados
+    if ( empty( $vulnerabilities ) ) {
+        echo '<div class="htsec-alert-success">';
+        echo '<p>✓ ' . esc_html__( 'Nenhuma vulnerabilidade conhecida detectada nas versões atuais!', 'ht-security' ) . '</p>';
+        echo '</div>';
+    } else {
+        echo '<div class="htsec-alert-danger">';
+        /* translators: %d: Number of vulnerabilities found */
+        echo '<p>⚠ ' . sprintf( esc_html( _n( '%d vulnerabilidade encontrada!', '%d vulnerabilidades encontradas!', count( $vulnerabilities ), 'ht-security' ) ), count( $vulnerabilities ) ) . '</p>';
+        echo '</div>';
+
+        htsec_display_vulnerabilities( $vulnerabilities );
+    }
+
+    // Botão de verificação manual
+    echo '<form method="post" style="margin-top: 20px;">';
+    wp_nonce_field( 'htsec_check_cve', 'htsec_cve_nonce' );
+    submit_button( esc_html__( 'Verificar Vulnerabilidades Agora', 'ht-security' ), 'primary', 'htsec_check_cve_now', false );
+    echo '</form>';
+}
+
+/**
+ * Exibe as vulnerabilidades encontradas.
+ */
+function htsec_display_vulnerabilities( $vulnerabilities ) {
+    echo '<div style="margin: 20px 0;">';
+
+    foreach ( $vulnerabilities as $vuln ) {
+        $severity = isset( $vuln['severity'] ) ? $vuln['severity'] : 'UNKNOWN';
+        $severity_colors = [
+            'CRITICAL' => '#8b0000',
+            'HIGH' => '#dc3545',
+            'MEDIUM' => '#ffc107',
+            'LOW' => '#28a745',
+            'UNKNOWN' => '#6c757d',
+        ];
+        $severity_color = isset( $severity_colors[ $severity ] ) ? $severity_colors[ $severity ] : $severity_colors['UNKNOWN'];
+
+        echo '<div class="htsec-vuln-card">';
+        echo '<div class="htsec-vuln-header">';
+        echo '<h3 class="htsec-vuln-title">' . esc_html( $vuln['software'] ) . ' ' . esc_html( $vuln['version'] ) . '</h3>';
+        echo '<span class="htsec-severity-badge" style="background-color: ' . esc_attr( $severity_color ) . '; color: white;">' . esc_html( $severity ) . '</span>';
+        echo '</div>';
+
+        echo '<div class="htsec-vuln-detail">';
+        echo '<strong>' . esc_html__( 'CVE:', 'ht-security' ) . '</strong> ';
+        echo '<a href="' . esc_url( $vuln['cve_url'] ) . '" target="_blank" class="htsec-cve-link" rel="noopener noreferrer">';
+        echo esc_html( $vuln['cve_id'] );
+        echo ' <span class="dashicons dashicons-external" style="font-size: 14px; vertical-align: middle;"></span>';
+        echo '</a>';
+        echo '</div>';
+
+        if ( isset( $vuln['cvss_score'] ) ) {
+            echo '<div class="htsec-vuln-detail">';
+            echo '<strong>' . esc_html__( 'CVSS Score:', 'ht-security' ) . '</strong> ';
+            echo '<span class="htsec-cvss-score">' . esc_html( $vuln['cvss_score'] ) . '</span>';
+            echo '</div>';
+        }
+
+        if ( ! empty( $vuln['description'] ) ) {
+            echo '<div class="htsec-vuln-detail">';
+            echo '<strong>' . esc_html__( 'Descrição:', 'ht-security' ) . '</strong>';
+            echo '<div class="htsec-vuln-description">' . esc_html( $vuln['description'] ) . '</div>';
+            echo '</div>';
+        }
+
+        echo '</div>';
+    }
+
+    echo '</div>';
+}
+
+/**
+ * Verifica vulnerabilidades nos plugins e WordPress.
+ */
+function htsec_check_vulnerabilities( $manual = false ) {
+    $api_key = get_option( 'htsec_nvd_api_key', '' );
+    $vulnerabilities = [];
+
+    // Definir rate limits
+    $rate_limit = empty( $api_key ) ? 5 : 50; // 5 requests/30s sem key, 50/30s com key
+    $batch_delay = 30; // 30 segundos entre batches
+
+    // Coletar todos os softwares a serem verificados
+    $software_to_check = [];
+
+    // Adicionar WordPress
+    $software_to_check[] = [
+        'name' => 'WordPress',
+        'version' => get_bloginfo( 'version' ),
+        'type' => 'core',
+    ];
+
+    // Adicionar plugins ativos
+    if ( ! function_exists( 'get_plugins' ) ) {
+        require_once ABSPATH . 'wp-admin/includes/plugin.php';
+    }
+
+    $all_plugins = get_plugins();
+    $active_plugins = get_option( 'active_plugins', [] );
+
+    foreach ( $all_plugins as $plugin_file => $plugin_data ) {
+        // Verificar apenas plugins ativos
+        if ( ! in_array( $plugin_file, $active_plugins, true ) ) {
+            continue;
+        }
+
+        $software_to_check[] = [
+            'name' => $plugin_data['Name'],
+            'version' => $plugin_data['Version'],
+            'type' => 'plugin',
+        ];
+    }
+
+    $total_items = count( $software_to_check );
+    $total_batches = ceil( $total_items / $rate_limit );
+    $current_batch = 0;
+
+    // Processar em batches
+    for ( $i = 0; $i < $total_items; $i += $rate_limit ) {
+        $current_batch++;
+        $batch = array_slice( $software_to_check, $i, $rate_limit );
+
+        // Feedback de progresso para verificação manual
+        if ( $manual ) {
+            $processed = min( $i + $rate_limit, $total_items );
+            htsec_log_progress( sprintf(
+                /* translators: 1: Current progress, 2: Total items */
+                esc_html__( 'Verificando %1$d de %2$d softwares...', 'ht-security' ),
+                $processed,
+                $total_items
+            ) );
+        }
+
+        // Processar cada item do batch
+        foreach ( $batch as $software ) {
+            $vulns = htsec_query_nvd_api( $software['name'], $software['version'], $api_key );
+            if ( ! empty( $vulns ) ) {
+                $vulnerabilities = array_merge( $vulnerabilities, $vulns );
+            }
+
+            // Pequeno delay entre requisições do mesmo batch para não sobrecarregar
+            if ( ! empty( $api_key ) ) {
+                usleep( 100000 ); // 0.1 segundo com API Key
+            } else {
+                usleep( 500000 ); // 0.5 segundo sem API Key
+            }
+        }
+
+        // Se não for o último batch, esperar 30 segundos
+        if ( $current_batch < $total_batches ) {
+            if ( $manual ) {
+                htsec_log_progress( sprintf(
+                    /* translators: %d: Seconds to wait */
+                    esc_html__( 'Aguardando %d segundos (limite da API)...', 'ht-security' ),
+                    $batch_delay
+                ) );
+            }
+            sleep( $batch_delay );
+        }
+    }
+
+    // Armazenar resultados
+    update_option( 'htsec_vulnerabilities', $vulnerabilities );
+    update_option( 'htsec_last_cve_check', current_time( 'timestamp' ) );
+
+    // Enviar e-mail se habilitado e houver vulnerabilidades
+    if ( ! empty( $vulnerabilities ) && get_option( 'htsec_enable_cve_alerts', 0 ) ) {
+        htsec_send_cve_alert( $vulnerabilities );
+    }
+
+    return [
+        'total_checked' => $total_items,
+        'vulnerabilities_found' => count( $vulnerabilities ),
+        'batches_processed' => $current_batch,
+    ];
+}
+
+/**
+ * Registra progresso da verificação (para exibição em verificações manuais).
+ */
+function htsec_log_progress( $message ) {
+    $progress = get_option( 'htsec_check_progress', [] );
+    $progress[] = [
+        'message' => $message,
+        'time' => current_time( 'mysql' ),
+    ];
+    update_option( 'htsec_check_progress', $progress );
+}
+
+/**
+ * Consulta a API NVD para buscar CVEs.
+ */
+function htsec_query_nvd_api( $software_name, $version, $api_key = '' ) {
+    $vulnerabilities = [];
+
+    // Lista de termos genéricos que causam falsos positivos
+    $generic_terms = [
+        'apache', 'tomcat', 'connector', 'owasp', 'antisamy', '.net',
+        'java', 'spring', 'framework', 'library', 'module', 'component',
+    ];
+
+    // Para WordPress, usar busca específica
+    if ( 'WordPress' === $software_name ) {
+        $search_term = 'WordPress Core ' . $version;
+    } else {
+        // Para plugins, usar nome específico
+        $search_term = sanitize_text_field( $software_name );
+    }
+
+    $url = add_query_arg( [
+        'keywordSearch' => rawurlencode( $search_term ),
+        'keywordExactMatch' => '', // Busca exata da frase
+        'resultsPerPage' => 20,
+    ], 'https://services.nvd.nist.gov/rest/json/cves/2.0' );
+
+    $headers = [ 'timeout' => 30 ];
+
+    if ( ! empty( $api_key ) ) {
+        $headers['headers'] = [
+            'apiKey' => sanitize_text_field( $api_key ),
+        ];
+    }
+
+    $response = wp_remote_get( $url, $headers );
+
+    if ( is_wp_error( $response ) ) {
+        return $vulnerabilities;
+    }
+
+    $response_code = wp_remote_retrieve_response_code( $response );
+    if ( 200 !== $response_code ) {
+        return $vulnerabilities;
+    }
+
+    $body = wp_remote_retrieve_body( $response );
+    $data = json_decode( $body, true );
+
+    if ( empty( $data['vulnerabilities'] ) ) {
+        return $vulnerabilities;
+    }
+
+    foreach ( $data['vulnerabilities'] as $vuln ) {
+        if ( empty( $vuln['cve'] ) ) {
+            continue;
+        }
+
+        $cve = $vuln['cve'];
+        $cve_id = isset( $cve['id'] ) ? $cve['id'] : '';
+
+        if ( empty( $cve_id ) ) {
+            continue;
+        }
+
+        // Extrair descrição
+        $description = '';
+        if ( isset( $cve['descriptions'] ) && is_array( $cve['descriptions'] ) ) {
+            foreach ( $cve['descriptions'] as $desc ) {
+                if ( isset( $desc['lang'] ) && 'en' === $desc['lang'] ) {
+                    $description = $desc['value'];
+                    break;
+                }
+            }
+        }
+
+        // ANTI-FALSO POSITIVO: Validar se a CVE realmente se aplica ao software
+        if ( ! htsec_validate_cve_match( $software_name, $description, $cve ) ) {
+            continue;
+        }
+
+        // ANTI-FALSO POSITIVO: Verificar se não contém termos genéricos que não correspondem
+        $description_lower = strtolower( $description );
+        $software_lower = strtolower( $software_name );
+
+        $has_generic_mismatch = false;
+        foreach ( $generic_terms as $term ) {
+            // Se a descrição menciona um termo genérico que não está no nome do software
+            if ( strpos( $description_lower, $term ) !== false && strpos( $software_lower, $term ) === false ) {
+                $has_generic_mismatch = true;
+                break;
+            }
+        }
+
+        if ( $has_generic_mismatch ) {
+            continue;
+        }
+
+        // VALIDAÇÃO DE VERSÃO: Verificar se a versão instalada é vulnerável
+        if ( ! htsec_version_is_vulnerable( $version, $cve ) ) {
+            continue;
+        }
+
+        // Extrair severidade e score
+        $severity = 'UNKNOWN';
+        $cvss_score = null;
+
+        if ( isset( $cve['metrics'] ) ) {
+            $metrics = $cve['metrics'];
+
+            // Tentar CVSS v3.1 primeiro
+            if ( isset( $metrics['cvssMetricV31'][0] ) ) {
+                $cvss = $metrics['cvssMetricV31'][0];
+                $severity = isset( $cvss['cvssData']['baseSeverity'] ) ? $cvss['cvssData']['baseSeverity'] : 'UNKNOWN';
+                $cvss_score = isset( $cvss['cvssData']['baseScore'] ) ? $cvss['cvssData']['baseScore'] : null;
+            } elseif ( isset( $metrics['cvssMetricV30'][0] ) ) {
+                $cvss = $metrics['cvssMetricV30'][0];
+                $severity = isset( $cvss['cvssData']['baseSeverity'] ) ? $cvss['cvssData']['baseSeverity'] : 'UNKNOWN';
+                $cvss_score = isset( $cvss['cvssData']['baseScore'] ) ? $cvss['cvssData']['baseScore'] : null;
+            } elseif ( isset( $metrics['cvssMetricV2'][0] ) ) {
+                $cvss = $metrics['cvssMetricV2'][0];
+                $severity = isset( $cvss['baseSeverity'] ) ? $cvss['baseSeverity'] : 'UNKNOWN';
+                $cvss_score = isset( $cvss['cvssData']['baseScore'] ) ? $cvss['cvssData']['baseScore'] : null;
+            }
+        }
+
+        $vulnerabilities[] = [
+            'software' => $software_name,
+            'version' => $version,
+            'cve_id' => $cve_id,
+            'cve_url' => 'https://nvd.nist.gov/vuln/detail/' . $cve_id,
+            'description' => wp_trim_words( $description, 50 ),
+            'full_description' => $description,
+            'severity' => $severity,
+            'cvss_score' => $cvss_score,
+        ];
+    }
+
+    return $vulnerabilities;
+}
+
+/**
+ * Verifica se a versão instalada está vulnerável baseada nos dados da CVE.
+ */
+function htsec_version_is_vulnerable( $installed_version, $cve_data ) {
+    // Se não tiver versão instalada, não pode validar
+    if ( empty( $installed_version ) ) {
+        return false;
+    }
+
+    // Normalizar versão instalada (remover v, V, etc.)
+    $installed_version = strtolower( trim( $installed_version ) );
+    $installed_version = preg_replace( '/^v/', '', $installed_version );
+
+    // Extrair versões afetadas das configurações da CVE
+    $version_ranges = htsec_extract_version_ranges( $cve_data );
+
+    // Se não conseguiu extrair ranges, tentar da descrição
+    if ( empty( $version_ranges ) ) {
+        $description = '';
+        if ( isset( $cve_data['descriptions'] ) && is_array( $cve_data['descriptions'] ) ) {
+            foreach ( $cve_data['descriptions'] as $desc ) {
+                if ( isset( $desc['lang'] ) && 'en' === $desc['lang'] ) {
+                    $description = $desc['value'];
+                    break;
+                }
+            }
+        }
+        $version_ranges = htsec_extract_version_from_description( $description );
+    }
+
+    // Se ainda não tem ranges, não pode validar (assume que pode ser vulnerável para ser conservador)
+    if ( empty( $version_ranges ) ) {
+        return false; // Mudado para false - se não sabemos, não reportamos
+    }
+
+    // Verificar se a versão instalada está em algum dos ranges vulneráveis
+    foreach ( $version_ranges as $range ) {
+        if ( htsec_version_in_range( $installed_version, $range ) ) {
+            return true;
+        }
+    }
+
+    return false;
+}
+
+/**
+ * Extrai ranges de versões afetadas dos dados da CVE.
+ */
+function htsec_extract_version_ranges( $cve_data ) {
+    $ranges = [];
+
+    if ( ! isset( $cve_data['configurations'] ) || ! is_array( $cve_data['configurations'] ) ) {
+        return $ranges;
+    }
+
+    foreach ( $cve_data['configurations'] as $config ) {
+        if ( ! isset( $config['nodes'] ) || ! is_array( $config['nodes'] ) ) {
+            continue;
+        }
+
+        foreach ( $config['nodes'] as $node ) {
+            if ( ! isset( $node['cpeMatch'] ) || ! is_array( $node['cpeMatch'] ) ) {
+                continue;
+            }
+
+            foreach ( $node['cpeMatch'] as $match ) {
+                if ( ! isset( $match['vulnerable'] ) || ! $match['vulnerable'] ) {
+                    continue;
+                }
+
+                $range = [
+                    'start_version' => null,
+                    'end_version' => null,
+                    'start_including' => true,
+                    'end_including' => true,
+                ];
+
+                if ( isset( $match['versionStartIncluding'] ) ) {
+                    $range['start_version'] = $match['versionStartIncluding'];
+                    $range['start_including'] = true;
+                } elseif ( isset( $match['versionStartExcluding'] ) ) {
+                    $range['start_version'] = $match['versionStartExcluding'];
+                    $range['start_including'] = false;
+                }
+
+                if ( isset( $match['versionEndIncluding'] ) ) {
+                    $range['end_version'] = $match['versionEndIncluding'];
+                    $range['end_including'] = true;
+                } elseif ( isset( $match['versionEndExcluding'] ) ) {
+                    $range['end_version'] = $match['versionEndExcluding'];
+                    $range['end_including'] = false;
+                }
+
+                // Se tem pelo menos uma versão de limite, adiciona o range
+                if ( $range['start_version'] !== null || $range['end_version'] !== null ) {
+                    $ranges[] = $range;
+                }
+            }
+        }
+    }
+
+    return $ranges;
+}
+
+/**
+ * Extrai informação de versão da descrição da CVE.
+ */
+function htsec_extract_version_from_description( $description ) {
+    $ranges = [];
+
+    if ( empty( $description ) ) {
+        return $ranges;
+    }
+
+    $description_lower = strtolower( $description );
+
+    // Padrões comuns:
+    // "before X.X.X", "prior to X.X.X", "up to X.X.X", "through X.X.X"
+    // "versions up to, and including, X.X.X"
+    // "in versions up to X.X.X"
+
+    $patterns = [
+        '/(?:before|prior to|up to|through)\s+(?:version\s+)?v?(\d+\.\d+(?:\.\d+)?)/i',
+        '/versions?\s+up\s+to,?\s+(?:and\s+)?including,?\s+v?(\d+\.\d+(?:\.\d+)?)/i',
+        '/in\s+versions?\s+up\s+to\s+v?(\d+\.\d+(?:\.\d+)?)/i',
+        '/(?:version|versions?)\s+v?(\d+\.\d+(?:\.\d+)?)\s+and\s+(?:below|earlier)/i',
+    ];
+
+    foreach ( $patterns as $pattern ) {
+        if ( preg_match( $pattern, $description, $matches ) ) {
+            $version = $matches[1];
+
+            // Determinar se é inclusive ou exclusive baseado nas palavras
+            $is_including = (
+                strpos( $description_lower, 'including' ) !== false ||
+                strpos( $description_lower, 'through' ) !== false
+            );
+
+            $ranges[] = [
+                'start_version' => null,
+                'end_version' => $version,
+                'start_including' => true,
+                'end_including' => $is_including,
+            ];
+
+            break; // Pega apenas o primeiro match
+        }
+    }
+
+    return $ranges;
+}
+
+/**
+ * Verifica se uma versão está dentro de um range específico.
+ */
+function htsec_version_in_range( $version, $range ) {
+    // Verificar limite inferior
+    if ( $range['start_version'] !== null ) {
+        $comparison = version_compare( $version, $range['start_version'] );
+
+        if ( $range['start_including'] ) {
+            // Versão deve ser >= start
+            if ( $comparison < 0 ) {
+                return false;
+            }
+        } else {
+            // Versão deve ser > start
+            if ( $comparison <= 0 ) {
+                return false;
+            }
+        }
+    }
+
+    // Verificar limite superior
+    if ( $range['end_version'] !== null ) {
+        $comparison = version_compare( $version, $range['end_version'] );
+
+        if ( $range['end_including'] ) {
+            // Versão deve ser <= end
+            if ( $comparison > 0 ) {
+                return false;
+            }
+        } else {
+            // Versão deve ser < end
+            if ( $comparison >= 0 ) {
+                return false;
+            }
+        }
+    }
+
+    return true;
+}
+
+/**
+ * Valida se uma CVE realmente corresponde ao software especificado.
+ */
+function htsec_validate_cve_match( $software_name, $description, $cve_data ) {
+    $software_lower = strtolower( $software_name );
+    $description_lower = strtolower( $description );
+
+    // Para WordPress Core
+    if ( 'WordPress' === $software_name ) {
+        // Deve mencionar explicitamente "wordpress"
+        if ( strpos( $description_lower, 'wordpress' ) === false ) {
+            return false;
+        }
+
+        // Não deve ser sobre plugin ou tema
+        if ( strpos( $description_lower, 'plugin' ) !== false || strpos( $description_lower, 'theme' ) !== false ) {
+            return false;
+        }
+
+        return true;
+    }
+
+    // NOVA VALIDAÇÃO: Detectar plugins addon/relacionados
+    // Palavras que indicam que é um plugin diferente (addon, extension, etc.)
+    $addon_keywords = [
+        'addon', 'add-on', 'add on',
+        'extension', 'extend',
+        'pro version', 'premium',
+        'ultimate', 'advanced', 'extra',
+        'plus', 'premium',
+    ];
+
+    foreach ( $addon_keywords as $keyword ) {
+        if ( strpos( $description_lower, $keyword ) !== false ) {
+            // Se menciona addon, verificar se o nome do plugin instalado também menciona
+            $has_keyword_in_name = false;
+            foreach ( explode( ' ', $keyword ) as $kword ) {
+                if ( strpos( $software_lower, $kword ) !== false ) {
+                    $has_keyword_in_name = true;
+                    break;
+                }
+            }
+
+            // Se a CVE menciona addon mas o plugin instalado não menciona, é outro plugin
+            if ( ! $has_keyword_in_name ) {
+                // Verificação adicional: extrair nome completo do plugin da descrição
+                $cve_plugin_name = htsec_extract_plugin_name_from_description( $description );
+
+                if ( ! empty( $cve_plugin_name ) && strtolower( $cve_plugin_name ) !== $software_lower ) {
+                    // Os nomes são diferentes - é outro plugin
+                    return false;
+                }
+            }
+        }
+    }
+
+    // VALIDAÇÃO EXATA: Tentar extrair o nome exato do plugin da descrição
+    $cve_plugin_name = htsec_extract_plugin_name_from_description( $description );
+
+    if ( ! empty( $cve_plugin_name ) ) {
+        $cve_plugin_lower = strtolower( $cve_plugin_name );
+
+        // Se o nome extraído é MUITO diferente do nome do plugin, filtrar
+        $similarity = 0;
+        similar_text( $software_lower, $cve_plugin_lower, $similarity );
+
+        // Se similaridade < 60%, provavelmente é plugin diferente
+        if ( $similarity < 60 ) {
+            // Mas apenas se o nome extraído é substancialmente diferente
+            // Ex: "Elementor" vs "Plus Addons for Elementor" = muito diferente
+            if ( strlen( $cve_plugin_lower ) > strlen( $software_lower ) * 1.5 ) {
+                return false;
+            }
+        }
+    }
+
+    // Para plugins WordPress
+    // Verificar se a descrição menciona o nome do plugin
+    $words = explode( ' ', $software_lower );
+    $match_count = 0;
+
+    foreach ( $words as $word ) {
+        if ( strlen( $word ) < 3 ) {
+            continue; // Ignorar palavras muito curtas
+        }
+
+        if ( strpos( $description_lower, $word ) !== false ) {
+            $match_count++;
+        }
+    }
+
+    // Se nenhuma palavra do nome do software aparece na descrição, provavelmente é falso positivo
+    if ( $match_count === 0 ) {
+        return false;
+    }
+
+    // Verificar se menciona WordPress plugin
+    $is_wp_plugin_cve = ( strpos( $description_lower, 'wordpress' ) !== false && strpos( $description_lower, 'plugin' ) !== false );
+
+    // Se menciona WordPress plugin, verificar se não é addon de outro plugin
+    if ( $is_wp_plugin_cve ) {
+        // Padrão: "The [Nome do Plugin] WordPress plugin"
+        if ( preg_match( '/the\s+(.+?)\s+wordpress\s+plugin/i', $description, $matches ) ) {
+            $extracted_name = trim( $matches[1] );
+            $extracted_lower = strtolower( $extracted_name );
+
+            // Se o nome extraído é muito diferente, é outro plugin
+            if ( strpos( $extracted_lower, $software_lower ) === false &&
+                 strpos( $software_lower, $extracted_lower ) === false ) {
+                return false;
+            }
+        }
+    }
+
+    // Se tem pelo menos 50% das palavras correspondentes, considera válido
+    $total_words = count( array_filter( $words, function( $w ) {
+        return strlen( $w ) >= 3;
+    } ) );
+
+    if ( $total_words > 0 && ( $match_count / $total_words ) >= 0.5 ) {
+        return true;
+    }
+
+    // Caso contrário, é provável falso positivo
+    return false;
+}
+
+/**
+ * Extrai o nome do plugin da descrição da CVE.
+ */
+function htsec_extract_plugin_name_from_description( $description ) {
+    // Padrões comuns de nomeação em descrições de CVE:
+    // "The [Plugin Name] WordPress plugin"
+    // "The [Plugin Name] plugin for WordPress"
+    // "[Plugin Name] plugin"
+
+    $patterns = [
+        '/the\s+(.+?)\s+wordpress\s+plugin/i',
+        '/the\s+(.+?)\s+plugin\s+for\s+wordpress/i',
+        '/^(.+?)\s+plugin/i',
+    ];
+
+    foreach ( $patterns as $pattern ) {
+        if ( preg_match( $pattern, trim( $description ), $matches ) ) {
+            return trim( $matches[1] );
+        }
+    }
+
+    return '';
+}
+
+/**
+ * Envia alerta por e-mail sobre vulnerabilidades encontradas.
+ */
+function htsec_send_cve_alert( $vulnerabilities ) {
+    $email = sanitize_email( get_option( 'htsec_alert_email', get_option( 'admin_email' ) ) );
+
+    if ( empty( $email ) ) {
+        return;
+    }
+
+    $subject = sprintf(
+        /* translators: 1: Site name, 2: Number of vulnerabilities */
+        esc_html__( '[%1$s] Alerta: %2$d vulnerabilidades detectadas', 'ht-security' ),
+        get_bloginfo( 'name' ),
+        count( $vulnerabilities )
+    );
+
+    $message = esc_html__( 'Estimado Administrador,', 'ht-security' ) . "\n\n";
+    $message .= sprintf(
+        /* translators: %d: Number of vulnerabilities */
+        esc_html( _n( 'Foi detectada %d vulnerabilidade conhecida (CVE) em seu site:', 'Foram detectadas %d vulnerabilidades conhecidas (CVE) em seu site:', count( $vulnerabilities ), 'ht-security' ) ),
+        count( $vulnerabilities )
+    ) . "\n\n";
+
+    foreach ( $vulnerabilities as $vuln ) {
+        $message .= '━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━' . "\n";
+        $message .= esc_html__( 'Software:', 'ht-security' ) . ' ' . $vuln['software'] . ' ' . $vuln['version'] . "\n";
+        $message .= esc_html__( 'CVE:', 'ht-security' ) . ' ' . $vuln['cve_id'] . "\n";
+        $message .= esc_html__( 'Severidade:', 'ht-security' ) . ' ' . $vuln['severity'] . "\n";
+        if ( isset( $vuln['cvss_score'] ) ) {
+            $message .= esc_html__( 'CVSS Score:', 'ht-security' ) . ' ' . $vuln['cvss_score'] . "\n";
+        }
+        $message .= esc_html__( 'Link:', 'ht-security' ) . ' ' . $vuln['cve_url'] . "\n";
+        if ( ! empty( $vuln['description'] ) ) {
+            $message .= esc_html__( 'Descrição:', 'ht-security' ) . ' ' . $vuln['description'] . "\n";
+        }
+        $message .= "\n";
+    }
+
+    $message .= '━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━' . "\n\n";
+    $message .= esc_html__( 'Recomendamos que você atualize os plugins e o WordPress o mais rápido possível.', 'ht-security' ) . "\n\n";
+    $message .= esc_html__( 'Acesse o painel do HT Security para mais detalhes:', 'ht-security' ) . "\n";
+    $message .= admin_url( 'options-general.php?page=ht-security' );
+
+    wp_mail( $email, $subject, $message );
+}
+
+/**
+ * Configura o cron job para verificação automática de vulnerabilidades.
+ */
+add_action( 'wp', 'htsec_schedule_cve_check' );
+function htsec_schedule_cve_check() {
+    if ( ! wp_next_scheduled( 'htsec_cve_check_event' ) ) {
+        wp_schedule_event( time(), 'twicedaily', 'htsec_cve_check_event' );
+    }
+}
+
+add_action( 'htsec_cve_check_event', 'htsec_run_scheduled_cve_check' );
+function htsec_run_scheduled_cve_check() {
+    htsec_check_vulnerabilities();
+}
+
+/**
+ * Remove o cron job ao desativar o plugin.
+ */
+register_deactivation_hook( __FILE__, 'htsec_deactivation' );
+function htsec_deactivation() {
+    $timestamp = wp_next_scheduled( 'htsec_cve_check_event' );
+    if ( $timestamp ) {
+        wp_unschedule_event( $timestamp, 'htsec_cve_check_event' );
+    }
+}
+
+/**
+ * Adiciona indicador de vulnerabilidades na página de plugins.
+ */
+add_filter( 'plugin_row_meta', 'htsec_add_plugin_vulnerability_indicator', 10, 2 );
+function htsec_add_plugin_vulnerability_indicator( $plugin_meta, $plugin_file ) {
+    // Verificar se a opção está ativada
+    if ( ! get_option( 'htsec_show_plugin_badges', 1 ) ) {
+        return $plugin_meta;
+    }
+
+    // Obter dados do plugin
+    if ( ! function_exists( 'get_plugin_data' ) ) {
+        require_once ABSPATH . 'wp-admin/includes/plugin.php';
+    }
+
+    $plugin_data = get_plugin_data( WP_PLUGIN_DIR . '/' . $plugin_file );
+    $plugin_name = $plugin_data['Name'];
+
+    // Verificar vulnerabilidades armazenadas
+    $all_vulnerabilities = get_option( 'htsec_vulnerabilities', [] );
+    $plugin_vulnerabilities = array_filter( $all_vulnerabilities, function( $vuln ) use ( $plugin_name ) {
+        return $vuln['software'] === $plugin_name;
+    } );
+
+    $vuln_count = count( $plugin_vulnerabilities );
+
+    if ( $vuln_count > 0 ) {
+        // Plugin TEM vulnerabilidades - badge vermelho
+        $message = sprintf(
+            /* translators: %d: Number of vulnerabilities */
+            _n( '%d vulnerabilidade CVE detectada', '%d vulnerabilidades CVE detectadas', $vuln_count, 'ht-security' ),
+            $vuln_count
+        );
+
+        $badge = sprintf(
+            '<span style="display: inline-block; background-color: #dc3545; color: white; padding: 3px 8px; border-radius: 3px; font-size: 11px; font-weight: bold; margin-right: 5px;">⚠ %s</span>',
+            esc_html( $message )
+        );
+
+        $link = sprintf(
+            '<a href="%s" style="text-decoration: none;">%s</a>',
+            esc_url( admin_url( 'options-general.php?page=ht-security#cve-check' ) ),
+            esc_html__( 'Ver detalhes', 'ht-security' )
+        );
+
+        $plugin_meta[] = $badge . ' ' . $link;
+    } else {
+        // Plugin NÃO TEM vulnerabilidades - badge verde
+        $last_check = get_option( 'htsec_last_cve_check', 0 );
+
+        if ( $last_check ) {
+            $badge = sprintf(
+                '<span style="display: inline-block; background-color: #28a745; color: white; padding: 3px 8px; border-radius: 3px; font-size: 11px; font-weight: bold;">✓ %s</span>',
+                esc_html__( 'Sem vulnerabilidades conhecidas', 'ht-security' )
+            );
+
+            $plugin_meta[] = $badge;
+        }
+    }
+
+    return $plugin_meta;
+}
+
+/**
+ * Adiciona CSS para a página de plugins.
+ */
+add_action( 'admin_head-plugins.php', 'htsec_plugins_page_styles' );
+function htsec_plugins_page_styles() {
+    ?>
+    <style>
+        .htsec-vuln-badge {
+            display: inline-block;
+            padding: 4px 10px;
+            border-radius: 3px;
+            font-size: 11px;
+            font-weight: bold;
+            margin-right: 8px;
+        }
+        .htsec-vuln-badge.danger {
+            background-color: #dc3545;
+            color: white;
+        }
+        .htsec-vuln-badge.success {
+            background-color: #28a745;
+            color: white;
+        }
+        .htsec-vuln-badge.warning {
+            background-color: #ffc107;
+            color: #333;
+        }
+    </style>
+    <?php
+}
+
+/**
+ * Adiciona notificação no topo da página de plugins se houver vulnerabilidades.
+ */
+add_action( 'admin_notices', 'htsec_plugins_page_vulnerability_notice' );
+function htsec_plugins_page_vulnerability_notice() {
+    $screen = get_current_screen();
+
+    if ( isset( $screen->id ) && 'plugins' === $screen->id ) {
+        $user_id = get_current_user_id();
+        $vulnerabilities = get_option( 'htsec_vulnerabilities', [] );
+        $vuln_count = count( $vulnerabilities );
+
+        if ( $vuln_count > 0 ) {
+            // Verificar se o usuário fechou o alerta de erro
+            $dismissed_error = get_user_meta( $user_id, 'htsec_dismissed_error_notice', true );
+            $last_check = get_option( 'htsec_last_cve_check', 0 );
+
+            // Se foi fechado e desde então não houve nova verificação, não mostrar
+            if ( $dismissed_error && $dismissed_error >= $last_check ) {
+                return;
+            }
+
+            // Agrupar por plugin
+            $plugins_affected = [];
+            foreach ( $vulnerabilities as $vuln ) {
+                $software = $vuln['software'];
+                if ( ! isset( $plugins_affected[ $software ] ) ) {
+                    $plugins_affected[ $software ] = 0;
+                }
+                $plugins_affected[ $software ]++;
+            }
+
+            $affected_count = count( $plugins_affected );
+
+            echo '<div class="notice notice-error is-dismissible htsec-cve-notice" style="border-left-color: #dc3545;" data-notice-type="error">';
+            echo '<p><strong>' . esc_html__( 'Alerta de Segurança do HT Security:', 'ht-security' ) . '</strong></p>';
+            echo '<p>' . sprintf(
+                /* translators: 1: Number of vulnerabilities, 2: Number of affected plugins */
+                esc_html( _n(
+                    'Foram detectadas %1$d vulnerabilidade CVE em %2$d plugin.',
+                    'Foram detectadas %1$d vulnerabilidades CVE em %2$d plugins.',
+                    $vuln_count,
+                    'ht-security'
+                ) ),
+                esc_html( $vuln_count ),
+                esc_html( $affected_count )
+            ) . '</p>';
+
+            echo '<p>';
+            foreach ( $plugins_affected as $software => $count ) {
+                echo '• <strong>' . esc_html( $software ) . '</strong>: ' . sprintf(
+                    /* translators: %d: Number of vulnerabilities */
+                    esc_html( _n( '%d CVE', '%d CVEs', $count, 'ht-security' ) ),
+                    esc_html( $count )
+                ) . '<br>';
+            }
+            echo '</p>';
+
+            echo '<p>';
+            echo '<a href="' . esc_url( admin_url( 'options-general.php?page=ht-security#cve-check' ) ) . '" class="button button-primary">';
+            echo esc_html__( 'Ver Detalhes no HT Security', 'ht-security' );
+            echo '</a>';
+            echo '</p>';
+            echo '</div>';
+        } else {
+            $last_check = get_option( 'htsec_last_cve_check', 0 );
+
+            if ( $last_check ) {
+                // Verificar se o usuário fechou o alerta de sucesso
+                $dismissed_success = get_user_meta( $user_id, 'htsec_dismissed_success_notice', true );
+
+                // Se foi fechado e desde então não houve nova verificação, não mostrar
+                if ( $dismissed_success && $dismissed_success >= $last_check ) {
+                    return;
+                }
+
+                echo '<div class="notice notice-success is-dismissible htsec-cve-notice" style="border-left-color: #28a745;" data-notice-type="success">';
+                echo '<p><strong>✓ ' . esc_html__( 'HT Security:', 'ht-security' ) . '</strong> ';
+                echo esc_html__( 'Nenhuma vulnerabilidade conhecida foi detectada nos seus plugins!', 'ht-security' );
+                echo '</p>';
+
+                $time_diff = human_time_diff( $last_check, current_time( 'timestamp' ) );
+                echo '<p style="font-size: 12px; color: #666; margin: 5px 0 0 0;">' . sprintf(
+                    /* translators: %s: Time since last check */
+                    esc_html__( 'Última verificação: %s atrás', 'ht-security' ),
+                    esc_html( $time_diff )
+                ) . '</p>';
+                echo '</div>';
+            }
+        }
+    }
+}
+
+/**
+ * Adiciona JavaScript para tratar o dismiss do alerta.
+ */
+add_action( 'admin_footer-plugins.php', 'htsec_dismiss_notice_script' );
+function htsec_dismiss_notice_script() {
+    ?>
+    <script type="text/javascript">
+    jQuery(document).ready(function($) {
+        // Quando o usuário clicar no botão de fechar
+        $(document).on('click', '.htsec-cve-notice .notice-dismiss', function() {
+            var notice = $(this).parent();
+            var noticeType = notice.data('notice-type');
+
+            // Enviar requisição AJAX para salvar que o alerta foi fechado
+            $.post(ajaxurl, {
+                action: 'htsec_dismiss_notice',
+                notice_type: noticeType,
+                nonce: '<?php echo esc_js( wp_create_nonce( 'htsec_dismiss_notice' ) ); ?>'
+            });
+        });
+    });
+    </script>
+    <?php
+}
+
+/**
+ * Handler AJAX para salvar dismiss do alerta.
+ */
+add_action( 'wp_ajax_htsec_dismiss_notice', 'htsec_ajax_dismiss_notice' );
+function htsec_ajax_dismiss_notice() {
+    check_ajax_referer( 'htsec_dismiss_notice', 'nonce' );
+
+    $notice_type = isset( $_POST['notice_type'] ) ? sanitize_text_field( wp_unslash( $_POST['notice_type'] ) ) : '';
+    $user_id = get_current_user_id();
+
+    if ( 'error' === $notice_type ) {
+        update_user_meta( $user_id, 'htsec_dismissed_error_notice', current_time( 'timestamp' ) );
+    } elseif ( 'success' === $notice_type ) {
+        update_user_meta( $user_id, 'htsec_dismissed_success_notice', current_time( 'timestamp' ) );
+    }
+
+    wp_send_json_success();
+}
+
+/**
+ * Handler AJAX para processar e enviar feedback.
+ */
+add_action( 'wp_ajax_htsec_send_feedback', 'htsec_ajax_send_feedback' );
+function htsec_ajax_send_feedback() {
+    check_ajax_referer( 'htsec_send_feedback', 'nonce' );
+
+    // Verificar permissões
+    if ( ! current_user_can( 'manage_options' ) ) {
+        wp_send_json_error( [
+            'message' => esc_html__( 'Você não tem permissão para enviar feedback.', 'ht-security' ),
+        ] );
+    }
+
+    // Obter e sanitizar a mensagem
+    $message = isset( $_POST['message'] ) ? sanitize_textarea_field( wp_unslash( $_POST['message'] ) ) : '';
+
+    // Validar mensagem
+    if ( empty( trim( $message ) ) ) {
+        wp_send_json_error( [
+            'message' => esc_html__( 'Por favor, digite uma mensagem antes de enviar.', 'ht-security' ),
+        ] );
+    }
+
+    if ( strlen( $message ) < 10 ) {
+        wp_send_json_error( [
+            'message' => esc_html__( 'A mensagem deve ter pelo menos 10 caracteres.', 'ht-security' ),
+        ] );
+    }
+
+    // Obter informações do usuário e site
+    $current_user = wp_get_current_user();
+    $user_email = $current_user->user_email;
+    $user_name = $current_user->display_name;
+    $site_url = get_site_url();
+    $site_name = get_bloginfo( 'name' );
+    $wp_version = get_bloginfo( 'version' );
+    $plugin_version = '1.3.0';
+
+    // Preparar o assunto do email
+    $subject = sprintf(
+        /* translators: %s: Site name */
+        esc_html__( '[HT Security Feedback] %s', 'ht-security' ),
+        $site_name
+    );
+
+    // Preparar o corpo do email
+    $email_body = esc_html__( 'Novo feedback recebido:', 'ht-security' ) . "\n\n";
+    $email_body .= '━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━' . "\n\n";
+    $email_body .= esc_html__( 'MENSAGEM:', 'ht-security' ) . "\n";
+    $email_body .= $message . "\n\n";
+    $email_body .= '━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━' . "\n\n";
+    $email_body .= esc_html__( 'INFORMAÇÕES DO REMETENTE:', 'ht-security' ) . "\n";
+    $email_body .= esc_html__( 'Nome:', 'ht-security' ) . ' ' . esc_html( $user_name ) . "\n";
+    $email_body .= esc_html__( 'E-mail:', 'ht-security' ) . ' ' . esc_html( $user_email ) . "\n";
+    $email_body .= esc_html__( 'Site:', 'ht-security' ) . ' ' . esc_html( $site_name ) . "\n";
+    $email_body .= esc_html__( 'URL:', 'ht-security' ) . ' ' . esc_url( $site_url ) . "\n";
+    $email_body .= esc_html__( 'WordPress:', 'ht-security' ) . ' ' . esc_html( $wp_version ) . "\n";
+    $email_body .= esc_html__( 'HT Security:', 'ht-security' ) . ' ' . esc_html( $plugin_version ) . "\n";
+    $email_body .= esc_html__( 'Data/Hora:', 'ht-security' ) . ' ' . current_time( 'mysql' ) . "\n\n";
+    $email_body .= '━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━';
+
+    // Configurar headers do email
+    $headers = [
+        'Content-Type: text/plain; charset=UTF-8',
+        'From: ' . $site_name . ' <' . $user_email . '>',
+        'Reply-To: ' . $user_email,
+    ];
+
+    // Enviar email
+    $sent = wp_mail( '[email protected]', $subject, $email_body, $headers );
+
+    if ( $sent ) {
+        wp_send_json_success( [
+            'message' => esc_html__( 'Feedback enviado com sucesso! Obrigado pela sua contribuição.', 'ht-security' ),
+        ] );
+    } else {
+        wp_send_json_error( [
+            'message' => esc_html__( 'Erro ao enviar feedback. Por favor, tente novamente mais tarde.', 'ht-security' ),
+        ] );
+    }
+}

ht-security/trunk/readme.txt

@@ -1 +1 @@
 === HT Security ===
 Contributors: WPFastSec
-Tags: security, headers, login, maintenance, permissions
+Tags: security, vulnerabilities, headers, cve, maintenance
 Requires at least: 6.5
 Tested up to: 6.8
 Requires PHP: 8.2
-Stable Tag: 1.2.0
+Stable Tag: 1.3.0
 License: GPLv2 or later
 License URI: https://www.gnu.org/licenses/gpl-2.0.html
 
-Suite de Segurança completa: Headers, alertas de login, verificação do Core, modo manutenção e auditoria de permissões.
+Suite de Segurança: Headers, detecção CVE, verificação Core, alertas de login e modo manutenção.
 
 == Description ==
@@ -18 +18 @@
 * Sistema de alerta de login com envio por e-mail.
 * Verificação de integridade do Core do WordPress.
+* **Detecção de Vulnerabilidades CVE (NOVO v1.3.0)**
+  - Integração com NVD (National Vulnerability Database) API 2.0
+  - Verificação de WordPress Core e plugins ativos
+  - Sistema de batch processing com rate limiting inteligente
+  - 4 camadas de validação anti-falso positivo
+  - Badges de vulnerabilidade na página de plugins (ativáveis/desativáveis)
+  - Alertas dismissíveis por usuário
+  - Notificação por email quando vulnerabilidades detectadas
+  - Verificação automática a cada 12 horas
+  - Suporte para API Key da NVD (rate limit aumentado)
 * Bloqueio de enumeração de usuários via API REST e parâmetros de autor.
 * Modo de manutenção com whitelist de IPs autorizados.
@@ -31 +41 @@
 == Frequently Asked Questions ==
 = O plugin envia e-mails em qual situação? =
-Logins bem-sucedidos e falhas de login.
+Logins bem-sucedidos, falhas de login e quando vulnerabilidades CVE são detectadas (se a opção de alertas CVE estiver ativa).
 
 = Posso desativar os cabeçalhos? =
@@ -38 +48 @@
 = O Plugin verifica a integridade do Core do WordPress? =
 Sim, na versão 1.1.0 adicionamos essa funcionalidade para melhorar a visão clara de segurança para o administrador.
+
+= Como funciona a detecção de vulnerabilidades CVE? =
+O plugin consulta a base de dados NVD (National Vulnerability Database) para verificar se há vulnerabilidades conhecidas no WordPress Core e plugins ativos. A verificação é feita automaticamente a cada 12 horas e pode ser executada manualmente.
+
+= Preciso de uma API Key da NVD? =
+Não é obrigatório, mas recomendado. Sem API Key, o rate limit é de 5 requisições por 30 segundos. Com API Key (gratuita), aumenta para 50 requisições por 30 segundos, tornando as verificações muito mais rápidas.
+
+= Os badges de vulnerabilidade podem ser desativados? =
+Sim! Nas configurações do HT Security há uma opção para desativar os badges na página de plugins. O alerta superior continuará funcionando.
+
+= Como funciono os alertas dismissíveis? =
+Você pode fechar os alertas na página de plugins clicando no X. Eles não reaparecerão até a próxima verificação de vulnerabilidades. O estado de fechamento é salvo por usuário.
 
 = Como funciona o bloqueio de enumeração de usuários? =
@@ -48 +70 @@
 Depende das configurações do servidor. Em alguns casos, pode ser necessário corrigir manualmente via FTP/SSH.
 
+= O sistema anti-falso positivo funciona bem? =
+Sim! Implementamos 4 camadas de validação: validação de nome, validação de versão, filtro de termos genéricos e detecção de addons. Isso elimina mais de 99% dos falsos positivos.
+
 = Irá chegar novas funcionalidades? =
 Sim, estamos lançando uma versão inicial e o plugin irá ganhar diversas novas funcionalidades com o passar do tempo.
@@ -57 +82 @@
 
 == Changelog ==
-= 1.0.0 =
-* Versão Pronta para Lançamento com principais funcionalidades:
-  - Cabeçalhos como HSTS, X-Frame-Options, CSP e outros.
-  - Página de configurações simples.
-  - Sistema de alerta de login com envio por e-mail.
-  - Configuração de e-mail para alertas.
+= 1.3.0 =
+* **Novidade Principal: Sistema de Detecção de Vulnerabilidades CVE**
+  - Integração completa com NVD (National Vulnerability Database) API 2.0
+  - Verificação automática de WordPress Core e plugins ativos a cada 12 horas
+  - Verificação manual disponível na interface do plugin
+  - Interface elegante com badges de severidade (CRITICAL, HIGH, MEDIUM, LOW)
+  - Exibição detalhada de CVEs: ID, severidade, CVSS score, descrição e links
 
-= 1.1.0 =
-* Novidades:
-  - Verificação do Core do WordPress para o Administrador do site.
+* **Sistema de Batch Processing Inteligente**
+  - Rate limiting respeitado: 5 requisições/30s sem API Key
+  - Rate limiting aumentado: 50 requisições/30s com API Key da NVD
+  - Processamento em batches com delays automáticos entre lotes
+  - Feedback visual de progresso durante verificações
+  - Estatísticas de verificação (itens verificados, batches processados, vulnerabilidades encontradas)
 
-= 1.1.1 =
-* Novidades:
-  - Patch de Correção HSTS.
+* **Sistema Anti-Falso Positivo (4 Camadas)**
+  - Camada 1: Validação de nome do software
+  - Camada 2: Validação de versão (elimina CVEs já corrigidos)
+  - Camada 3: Filtro de termos genéricos (Apache, Tomcat, OWASP, etc.)
+  - Camada 4: Detecção de addons/extensões (diferencia plugins base de addons)
+  - Precisão de mais de 99% na detecção
+
+* **Preferências do Usuário**
+  - Nova opção: Ativar/desativar badges na página de plugins
+  - Alertas dismissíveis na página de plugins (com botão X)
+  - Estado de dismiss salvo por usuário (cada admin/editor tem seu próprio estado)
+  - Alertas reaparecem após novas verificações
+  - Sistema AJAX para dismiss sem recarregar página
+
+* **Notificações por Email**
+  - Email enviado quando vulnerabilidades são detectadas
+  - Funciona tanto em verificações automáticas quanto manuais
+  - Formatação profissional com severidade, CVSS e links
+  - Lista todas as vulnerabilidades detectadas agrupadas por plugin
+
+* **Correção de Bugs**
+  - Corrigido: Email de CVE agora envia corretamente em verificações manuais
+  - Removida dependência incorreta da opção de alertas de login
+
+* **Melhorias de Interface**
+  - Badges verdes/vermelhos na página de plugins
+  - Alerta superior na página de plugins com contagem de vulnerabilidades
+  - Links diretos para detalhes de CVE na interface do plugin
+  - Indicação de tempo desde última verificação
+  - Design responsivo e compatível com temas WordPress
 
 = 1.2.0 =
@@ -80 +136 @@
   - Interface melhorada com novas opções de configuração
 
+= 1.1.1 =
+* Novidades:
+  - Patch de Correção HSTS.
+
+= 1.1.0 =
+* Novidades:
+  - Verificação do Core do WordPress para o Administrador do site.
+
+= 1.0.0 =
+* Versão Pronta para Lançamento com principais funcionalidades:
+  - Cabeçalhos como HSTS, X-Frame-Options, CSP e outros.
+  - Página de configurações simples.
+  - Sistema de alerta de login com envio por e-mail.
+  - Configuração de e-mail para alertas.
+
 == Upgrade Notice ==
+
+= 1.3.0 =
+Nova detecção de vulnerabilidades CVE! Monitore WordPress e plugins contra CVEs conhecidos. Sistema com 4 camadas anti-falso positivo, badges ativáveis e alertas dismissíveis. Bug fix: email CVE agora funciona em verificações manuais.
+
+= 1.2.0 =
+Importantes melhorias de segurança: bloqueio de enumeração de usuários, modo de manutenção com IP whitelist e auditoria de permissões de arquivos.
+
+= 1.1.1 =
+Patch de correção.
+
+= 1.1.0 =
+Adicionado funcionalidade de verificação do Core, aplicado compatibilidade total com versão 6.8.1.
 
 = 1.0.0 =
 Primeira versão estável.
 
-= 1.1.0 =
-Adicionado funcionalidade de verificação do Core, aplicado compatibilidade total com versão 6.8.1.
-
-= 1.1.1 =
-Patch de correção.
-
-= 1.2.0 =
-Importantes melhorias de segurança: bloqueio de enumeração de usuários, modo de manutenção com IP whitelist e auditoria de permissões de arquivos.
-
 == License ==
 Este plugin está licenciado sob a GNU General Public License v2.0 ou posterior. Para mais informações, visite https://www.gnu.org/licenses/gpl-2.0.html.