近期,一系列名为“Essential Plugin”的WordPress插件遭遇了大规模的供应链攻击。收购者通过 Flippa 平台买下 30 多款插件后,立即植入了后门程序。该后门潜伏长达八个月后被激活,利用复杂的以太坊智能合约隐藏其控制服务器,导致数十万个网站被注入 SEO 垃圾信息。此事件暴露了 WordPress 插件市场在所有权变更审核方面存在的严重安全漏洞,即使官方采取了紧急下架和更新措施,用户仍需手动检查和清理残留的恶意代码。
一场大规模的供应链攻击
与此前单一插件被攻击的事件不同,这次的规模要大得多。一名新所有者收购了一个包含 30 多款插件的知名品牌 “Essential Plugin”,并将其武器化。
- 31 款插件 被 WordPress.org 官方强制下架。
- 后门在被激活前潜伏了 8 个月。
- 攻击者在 Flippa 市场上花费六位数美元收购了整个插件组合。
事件的起因是一名网站管理员在后台看到了 WordPress 官方发布的警告,指出 “Countdown Timer Ultimate” 插件存在安全风险。
复杂的攻击手段与不完全的修复
尽管 WordPress 官方强制更新了插件以移除恶意代码,但损害已经造成,且官方的修复并不彻底。
- 后门藏于核心文件: 恶意代码通过插件的
wpos-analytics模块,从外部服务器下载一个名为wp-comments-posts.php的后门文件,并利用它向网站的核心配置文件wp-config.php注入了大量恶意 PHP 代码。 - 清理措施不足: WordPress 官方的强制更新虽然禁用了插件连接外部服务器的功能,但并未清理已经被修改的
wp-config.php文件。这意味着,SEO 垃圾信息注入仍在对搜索引擎爬虫生效。
攻击者使用了极其高明的手段:它通过查询公共区块链的以太坊智能合约来解析其控制服务器的域名。这意味着传统的域名封锁手段完全无效,攻击者可以随时更新智能合约指向新的域名。
攻击时间线:一场预谋已久的行动
通过对插件历史版本的分析,可以清晰地看到这次攻击是如何策划和执行的。
- 2025 年初: 一位背景涉及 SEO、加密货币和在线博彩营销,名为“Kris”的买家通过 Flippa 平台收购了 “Essential Plugin” 的全部业务。
- 2025 年 8 月 8 日: 新所有者提交了第一个更新版本 (2.6.7)。更新日志谎称是“兼容性检查”,但实际上植入了一个可执行任意代码的后门。
- 2026 年 4 月 5-6 日: 潜伏 8 个月后,后门被激活,开始向所有安装了这些插件的网站分发恶意负载。
- 2026 年 4 月 7 日: WordPress.org 官方团队发现了该行为,并在一天内永久关闭了全部 31 款 “Essential Plugin” 插件。
最具讽刺意味的是,收购者在获得插件控制权后的第一次代码提交,就是植入后门。
暴露出的系统性漏洞
这起事件并非孤例,它遵循了一个危险的模式:购买一个拥有庞大用户群和良好声誉的插件,继承其信任和权限,然后注入恶意代码。
整个收购过程是公开的,买家的背景信息也并非秘密,但 WordPress.org 平台对此毫不知情,也未采取任何额外的审查措施。
- 缺乏所有权变更审核: WordPress.org 没有任何机制来标记或审查插件所有权的转移。
- 用户毫不知情: 用户不会收到任何关于插件开发者变更的通知。
- 信任被滥用: 攻击者利用了平台和用户对老牌插件的信任,在无人察觉的情况下埋下了“定时炸弹”。
用户应该怎么做
如果你正在使用来自 “Essential Plugin” 的任何插件,必须立即采取行动。
- 检查
wp-config.php文件: 这是最关键的一步。恶意代码会附加在require_once ABSPATH . 'wp-settings.php';这一行的末尾,很容易被忽略。如果文件大小异常(注入会增加约 6KB),说明你的网站已被感染。 - 彻底移除或修补插件: 由于官方的自动更新并不彻底,最安全的方法是找到替代插件并删除。如果必须继续使用,需要手动移除插件包内的
wpos-analytics/目录和相关的加载代码。 - 警惕插件来源: 这次攻击提醒所有网站管理员,即使是来自官方市场、拥有良好声誉的插件,在所有权变更后也可能成为安全威胁。