數十款 WordPress 外掛遭植入後門，數千個網站受影響

數十個廣泛使用的開源網頁部落格軟體 WordPress 外掛程式，在被發現含有後門後目前已下架。該後門被用於向任何依賴這些外掛程式的網站推送惡意代碼。此後門是在新的企業主收購這些外掛程式後被發現的。

Anchor Hosting 創辦人 Austin Ginder 上週在一篇部落格文章中發出警報，描述了針對名為 Essential Plugin 的 WordPress 外掛程式開發商的供應鏈攻擊。Ginder 表示，去年有人收購了 Essential Plugin，隨後後門很快就被添加到外掛程式的原始碼中。該後門一直處於休眠狀態，直到本月初才被激活，並開始向任何安裝了這些外掛程式的網站分發惡意代碼。

Essential Plugin 在其網站上聲稱擁有超過 400,000 次外掛程式安裝量和超過 15,000 名客戶。WordPress 的外掛程式安裝頁面則顯示，受影響的外掛程式存在於超過 20,000 個活躍的 WordPress 安裝中。

外掛程式允許 WordPress 網站所有者擴展網站功能，但這樣做也授予了外掛程式訪問其安裝系統的權限，這可能使這些網站面臨惡意擴充功能和潛在入侵的風險。但 Ginder 警告，WordPress 用戶不會收到任何外掛程式所有權變更的通知，這使內部用戶暴露於新所有者發動潛在接管攻擊的風險之下。

根據 Ginder 的說法，這是兩週內發現的第二起 WordPress 外掛程式劫持事件。安全研究人員長期以來一直警告，惡意行為者收購軟體並更改其代碼以入侵全球大量電腦的風險。

雖然這些外掛程式已從 WordPress 目錄中移除，且目前狀態列為「永久」關閉，但 Ginder 警告 WordPress 站長應檢查是否仍安裝了其中一個惡意外掛程式並將其移除。Ginder 在部落格文章中列出了受影響的外掛程式清單。

Essential Plugin 的代表未回應置評請求。