Скрит backdoor в WordPress плъгин компрометира над 70 000 сайта

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Открита дългогодишна уязвимост в популярен redirect плъгин

Открит е сериозен случай на злонамерен код в плъгина Quick Page/Post Redirect, използван в над **70 000 сайта на WordPress, който е съдържал скрит backdoor механизъм в продължение на години.

Проблемът е идентифициран от изследовател след аларма от няколко компрометирани сайта в хостинг инфраструктура.

Какво представлява плъгинът

Quick Page/Post Redirect е прост utility плъгин за WordPress, използван за създаване на пренасочвания на страници, постове и URL адреси. Именно неговата популярност и лекота на употреба го правят подходяща цел за злоупотреба.

Как е внедрен backdoor-ът

Според анализа, версии 5.2.1 и 5.2.2 (от 2020–2021 г.) съдържат скрит механизъм за self-update, който сочи към външен домейн, различен от официалната инфраструктура на WordPress.

Този механизъм:

  • позволява изпълнение на външен код
  • заобикаля контрола на WordPress.org
  • изтегля модифицирани версии на плъгина

По-късно, през 2021 г., версия 5.2.3 е разпространена от външен сървър с допълнително злонамерено съдържание.

Как работи скритият механизъм

Backdoor-ът е проектиран да се активира само при определени условия:

  • задейства се при логнати и нелогнати потребители
  • използва hook към the_content
  • комуникира с външен сървър за зареждане на данни

Това поведение е използвано за SEO злоупотреби и манипулация на трафик чрез „паразитно“ съдържание.

Рискът за засегнатите сайтове

Най-сериозният проблем не е само текущият код, а механизмът за автоматични обновления, който:

  • позволява дистанционно изпълнение на код
  • остава активен дори след години
  • може да бъде реактивиран при компрометирана инфраструктура

Домейнът, използван за контрол, вече не отговаря на команди, но самата инфраструктура на сайтовете остава уязвима.

Реакция и препоръки

Плъгинът е временно премахнат от официалния каталог на WordPress за преглед. Изследователите препоръчват:

  • незабавно премахване на плъгина
  • замяна с чиста версия (5.2.4, когато е налична)
  • проверка за остатъчен зловреден код

Експертите подчертават, че най-големият риск е продължаващата възможност за скрити обновления чрез външни сървъри.

#backdoor, # Quick Page/Post Redirect, # WordPress, # зловреден плъгин, # киберсигурност
e-security.bg

Подобни

Украинeц се призна за виновен за участие в операциите на Conti ransomware
15.06.2026
ransomware
Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер
14.06.2026
gettyimages-1355321121
ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft
14.06.2026
Oracle
Фалшиви FIFA сайтове крадат банкови карти и кодове за потвърждение
13.06.2026
fifa-world-cup
Miasma: Опасната еволюция на Shai-Hulud заплашва екосистемата с отворен код
12.06.2026
malware
GitHub ограничава автоматичното изпълнение на код при инсталиране на пакети
12.06.2026
GitHub___headpic (1)

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy