多款 WordPress 插件被植入后门,波及数千网站,相关插件已下线

据 TechCrunch 4 月 14 日报道，数十款 WordPress 插件在被收购后被植入后门，并向安装这些插件的网站分发恶意代码。相关插件目前已从 WordPress 插件目录中移除，安全研究人员提醒网站运营者尽快检查并卸载受影响插件。

这起事件最早由 Anchor Hosting 创始人 Austin Ginder 披露。Ginder 在一篇博客文章中称，WordPress 插件开发商 Essential Plugin 旗下多款插件在公司被收购后，其源码中被加入了后门程序。该后门在沉寂一段时间后，于本月被激活，并开始向安装这些插件的网站推送恶意代码。

公开信息显示，Essential Plugin 曾宣称其插件拥有超过 40 万次安装和超过 1.5 万名客户。根据 WordPress 插件页面显示，受影响插件涉及超过 2 万个活跃安装站点。由于 WordPress 插件通常能够访问站点内部环境，一旦插件被恶意篡改，网站就可能因此暴露在更大的安全风险之下。

报道指出，这起事件被视为一次典型的软件供应链攻击。研究人员称，WordPress 用户通常不会在插件所有权发生变更时收到提醒，而这一机制上的空白，使得恶意行为者在收购现有插件后更容易通过更新渠道投放恶意代码。

Ginder 还表示，这是在数周内发现的第二起类似 WordPress 插件劫持事件。安全研究人员长期以来一直警告，恶意方通过收购已有软件项目并在后续更新中植入恶意代码，已成为一种现实存在的供应链攻击路径。

目前，相关插件已从 WordPress 官方目录中移除，并被标记为永久关闭。安全研究人员建议，网站管理员应立即排查是否安装了受影响插件，并尽快移除。同时，还应检查站点是否已经出现异常代码或可疑行为，以降低进一步受害风险。

截至报道发布时，Essential Plugin 方面未对置评请求作出回应。