近期,一起针对WordPress生态的安全事件引发关注。数十个常用插件被发现存在“后门程序”,已被官方紧急下架,但其影响范围可能远超想象。
事件最早由Anchor Hosting创始人Austin Ginder披露。他在博客中指出,这是一场典型的供应链攻击:某家公司在去年收购了插件开发商Essential Plugin后,悄悄在插件源代码中植入后门。这段恶意代码并未立即生效,而是“潜伏”数月,直到本月初才被激活,开始向安装这些插件的网站批量分发恶意代码。
根据公开数据,Essential Plugin拥有超过40万次安装和约1.5万客户,而WordPress官方数据显示,受影响插件仍活跃于超过2万个网站。这意味着,攻击一旦启动,传播范围极广,影响成千上万网站安全。
插件本是WordPress生态的重要组成部分,它可以帮助站长快速扩展功能,比如优化SEO、增加电商模块等。但与此同时,插件也拥有对网站较高的访问权限。一旦插件被篡改,就等于给攻击者打开了“后门”,可用于植入木马、窃取数据甚至控制整站。
更值得警惕的是,Ginder指出:WordPress用户并不会收到插件“被收购或更换所有者”的通知。这就意味着,攻击者完全可以通过“合法收购”的方式接管插件,再进行恶意修改,而用户毫无察觉。
事实上,这已不是孤例。Ginder表示,这是两周内发现的第二起插件劫持事件。长期以来,安全研究人员一直警告,黑客通过收购软件并修改代码,能够在全球范围内大规模入侵设备,这类攻击正在变得越来越常见。
目前,这批问题插件已从WordPress官方目录中移除,并被标记为“永久关闭”。但风险并未完全消除。已经安装这些插件的网站仍可能处于被控制状态。因此,专家建议所有站长立即自查插件列表,及时卸载可疑插件,并进行全面安全扫描。
这起事件再次提醒:在开源生态中,信任本身就是最大的攻击面。当软件供应链被攻破,再完善的防护也可能失效。对于普通用户而言,定期检查插件来源、更新记录以及开发者背景,已成为不可忽视的安全习惯。
苏公网安备32021302001419号