ITCOW牛新网 4月15日消息,WordPress 生态近日遭遇严重供应链攻击。开发商 Essential Plugin 在被新买家收购后,旗下数十款插件被批量植入后门,该后门潜伏长达数月,于本月被激活,开始向所有安装站点推送恶意代码。目前受影响的插件已从官方库永久下架,但波及的活跃网站超过 2 万个。
据 Anchor Hosting 创始人 Austin Ginder 披露,攻击者通过收购获取了 Essential Plugin 的控制权。新所有者并未修复漏洞,而是在更新中直接植入后门,利用用户对原有开发者的信任进行分发。由于 WordPress 平台缺乏插件所有权变更的强制通知机制,大量站长在不知情的情况下持续使用已被“劫持”的插件。
此次事件是两周内曝光的第二起插件劫持事件,凸显了开源生态的供应链脆弱性。尽管官方已下架相关插件,但恶意代码可能已驻留于网站配置文件中。安全专家强烈建议站长立即自查插件列表,若发现涉及 Essential Plugin 的产品需彻底卸载并清理残留代码,切勿仅依赖自动更新。