Из WordPress удалили десятки плагинов с бэкдорами — под угрозой оказались тысячи сайтов

Десятки плагинов для WordPress экстренно удалили из официального каталога после обнаружения в них скрытых бэкдоров. Вредоносный код использовался для массового распространения скриптов на сайты, владельцы которых установили эти плагины. По оценке специалистов WordPress, затронутые плагины были установлены более чем на 20 тыс. сайтов.

О проблеме сообщил основатель компании Anchor Hosting Остин Гиндер, который описал схему атаки на цепочку поставок. По его данным, в прошлом году компания-разработчик Essential Plugin была продана новому владельцу, который вскоре внедрило бэкдор в исходный код программных продуктов. Вредоносная закладка оставалась в спящем режиме несколько месяцев и активировалась только в начале апреля, начав атаковать клиентские сайты.

Ситуацию усугубляет политика безопасности самой платформы: WordPress никак не уведомляет пользователей о смене владельцев плагинов, из-за чего администраторы сайтов могут не знать о рисках перехвата управления. Для экосистемы это уже второй случай перехвата плагинов за последние несколько недель.

На сайте Essential Plugin указано более 15 тыс. клиентов и свыше 400 тыс. скачиваний. Представители компании пока не прокомментировали ситуацию. Сейчас зараженные плагины удалены из каталога WordPress и получили статус «закрыты навсегда», однако эксперты по кибербезопасности рекомендуют владельцам сайтов вручную проверить системы и удалить скомпрометированные плагины.

Подпишитесь на «Инк» в Telegram. Там мы пишем нескучным языком о самом важном для предпринимателей. Подписаться.