После того как инвестор купил компанию Essential Plugin в прошлом году, в код нескольких её плагинов был добавлен скрытый бэкдор. Он оставался неактивным до начала текущего месяца, затем автоматически вставлял вредоносный скрипт в любые сайты, где эти плагины были установлены.
Что произошло
Эти плагины, распространявшиеся через официальный каталог WordPress, установлены более чем на 400 000 сайтов и обслуживают более 15 000 клиентов. После обнаружения они были удалены из каталога и помечены как permanent.
Почему это важно
Плагины имеют широкий доступ к WordPress‑инсталляциям, поэтому их компрометация позволяет злоумышленникам захватывать контроль над тысячами сайтов одновременно. Отсутствие уведомления о смене владельца плагина повышает риск подобных атак.
Что дальше
Пользователям следует проверить список затронутых плагинов, опубликованный в блоге Austin Ginder, и удалить их, если они ещё установлены. Ожидается усиление контроля за верификацией владельцев плагинов в экосистеме WordPress.