Масов риск за уебсайтове с популярни разширения
Над 30 плъгина от пакета EssentialPlugin са били компрометирани със зловреден код, който позволява неоторизиран достъп до WordPress сайтове и дистанционно управление чрез външна инфраструктура.
Проблемът засяга разширения с стотици хиляди активни инсталации, което превръща случая в значителен риск за глобалната WordPress екосистема.
Как започва всичко
Разследването е инициирано от Остин Гиндер, основател на Anchor Hosting, след сигнал за подозрителен код в един от плъгините.
По-задълбоченият анализ показва, че:
- Бекдорът е внедрен още през август 2025 г.
- Активира се едва наскоро чрез актуализации
- Съвпада с придобиването на проекта от нов собственик
Как работи атаката
Зловредният код остава „спящ“ дълго време, което го прави труден за откриване. След активиране той започва да комуникира със сървър за управление (C2), откъдето получава инструкции.
Процесът протича на няколко етапа:
Първо се изтегля файл с подвеждащо име – wp-comments-posts.php, който наподобява легитимен WordPress файл. След това се извършва инжектиране на зловреден код в критичния конфигурационен файл wp-config.php, който управлява връзката към базата данни и основните настройки на сайта.
Какво позволява бекдорът
След успешна компрометация, атакуващите могат:
- Да генерират спам страници
- Да пренасочват потребители към злонамерени сайтове
- Да инжектират SEO спам
- Да създават фалшиви страници
Особено притеснително е, че:
Зловредното съдържание се показва само на Googlebot, а не на администраторите на сайта.
Това означава, че:
- Собствениците не виждат проблема
- Търсачките индексират компрометираното съдържание
- Репутацията и SEO позициите се сриват
Усъвършенствани техники за укриване
Атаката използва необичаен метод за комуникация:
- Резолвиране на C2 адреси чрез Ethereum
Този подход:
- Затруднява блокирането на инфраструктурата
- Позволява динамична смяна на сървъри
- Усложнява анализа и реакцията
Реакция от WordPress
Екипът на WordPress реагира бързо:
- Плъгините са премахнати от официалното хранилище
- Пуснат е принудителен ъпдейт за спиране на бекдора
- Блокирана е комуникацията със зловредните сървъри
Важно уточнение:
Тези действия не почистват вече инфектираните сайтове, особено ако е засегнат файлът wp-config.php.
Какво трябва да направят администраторите
Собствениците на сайтове трябва да извършат задълбочена проверка, включително:
- Търсене на файлове като wp-comments-posts.php
- Проверка на wp-config.php за неоторизирани промени
- Анализ на всички плъгини от EssentialPlugin
- Сканиране за скрит зловреден код
Supply chain атака в WordPress екосистемата
Този случай е класически пример за supply chain компрометиране:
- Зловредният код идва чрез доверен източник (плъгин)
- Активира се чрез официални ъпдейти
- Засяга масово крайни потребители
Фактът, че бекдорът е бил внедрен след придобиване на проекта, повдига въпроси относно:
- Контрола върху кодовата база
- Процесите по проверка при смяна на собственост
- Доверието към доставчици на софтуер
Компрометирането на EssentialPlugin показва колко уязвима може да бъде една екосистема, когато доверието към разширенията не е подкрепено с постоянен контрол. В този случай бекдорът остава скрит месеци наред и се активира в най-неподходящия момент – чрез легитимен ъпдейт.
За администраторите това е ясен сигнал: редовният одит на плъгини и файлове вече не е препоръка, а необходимост.
