Более 20 000 сайтов на WordPress оказались под ударом из-за масштабной атаки на цепочку поставок. Злоумышленники выкупили портфель из 26 популярных плагинов, внедрили в них «спящий» бэкдор и активировали его спустя восемь месяцев, чтобы захватить контроль над ресурсами пользователей.
Троянский конь за шестизначную сумму
История началась в начале 2025 года, когда неизвестный покупатель под псевдонимом Kris приобрел активы компании Essential Plugin на аукционе Flippa. Сделка обошлась в шестизначную сумму, и уже в мае новый владелец получил полный доступ к управлению кодом расширений в официальном каталоге WordPress.org. Первая вредоносная правка появилась в августе того же года под видом безобидного обновления для совместимости с новой версией движка. В модуль аналитики скрытно добавили почти две сотни строк кода с бэкдором десериализации PHP, который терпеливо ждал своего часа.
Пробуждение вируса и захват управления
Вредонос «проснулся» 5 апреля 2026 года. Активировавшись, код начал внедрять SEO-спам напрямую в критически важный файл конфигурации wp-config.php и связываться с командным сервером. Для поиска управляющих доменов хакеры использовали оригинальный метод — данные из смарт-контракта в сети Ethereum. Зараженные сайты открывали злоумышленникам доступ к REST API, позволяя исполнять любой произвольный код. Чтобы скрыть следы инфекции, в системе создавался файл wp-comments-posts.php, чье название практически идентично легитимному компоненту ядра WordPress.
Реакция сообщества и план спасения
Масштаб угрозы впечатляет: общее число установок скомпрометированных плагинов превышает 400 000. Когда исследователи безопасности забили тревогу, администрация WordPress.org оперативно удалила все 26 плагинов из каталога и выпустила принудительное обновление безопасности. Однако эксперты предупреждают, что автоматического патча недостаточно. Обновление лишь разрывает связь с сервером хакеров, но не вычищает вредоносный код из wp-config.php. Владельцам сайтов необходимо вручную проверить конфигурационные файлы на наличие подозрительных вставок require или include, а также удалить папку wpos-analytics.
Системная уязвимость доверия
Этот инцидент стал вторым случаем захвата плагинов за две недели, обнажив фундаментальную проблему экосистемы WordPress. Пользователи не получают никаких уведомлений, когда у привычного инструмента меняется владелец. Это создает идеальные условия для хакеров: они легально покупают популярные расширения с большой базой лояльных клиентов и превращают их в плацдарм для атак. Пока механизм передачи прав остается непрозрачным, любой доверенный плагин может в одночасье превратиться в угрозу.
