安全简讯|数十款WordPress插件被植入后门,超2万网站中招

2026年4月14日，TechCrunch报道：Essential Plugin旗下数十款WordPress插件被曝植入后门，已被官方永久下架。

事件要点

– 插件被收购后，开发者在代码中预埋休眠后门，近期激活并推送恶意代码。

– 累计安装超40万次，影响超2万个活跃网站，涉及大量企业与个人站点。

– 漏洞属于供应链攻击，且WordPress不通知用户插件所有权变更，风险隐蔽性极高。

– 这是两周内第二起同类插件劫持事件，开源生态安全警报升级。

紧急建议

立即检查并卸载Essential Plugin系列插件，修改网站后台密码，排查异常代码与外链。