WordPress 插件供应链攻击:30+ 插件被植入后门
来源: Anchor Hosting | 作者: Austin Ginder | 日期: 2026-04-09
30+
受影响插件
31
被WordPress.org关闭
8个月
后门潜伏期
6位数
Flippa成交价
事件概述
2026年4月7日,WordPress.org插件团队在一天内永久关闭了Essential Plugin作者的所有31个插件。这些插件在Flippa上被收购后,被植入了复杂的后门程序,包括:
- PHP反序列化RCE后门
- 通过Ethereum智能合约解析C2域名(传统域名封禁失效)
- 仅对Googlebot可见的SEO垃圾内容注入
- wp-config.php持久化感染
关键发现: 买家的第一个SVN commit就是后门。2025年8月8日发布的2.6.7版本 changelog 写着"检查WordPress 6.8.2兼容性",实际上植入了191行恶意代码。
时间线
2015年2月 - wponlinesupport.com域名注册
2016年10月 - Countdown Timer Ultimate发布
2021年8月 - rebranding为Essential Plugin
2024年底 - 收入下降35-45%,在Flippa上架
2025年初 - 买家"Kris"以六位数价格收购
2025年8月8日 - 首个commit植入后门(版本2.6.7)
2026年4月5-6日 - 后门激活,开始分发恶意payload
2026年4月7日 - WordPress.org关闭全部31个插件
技术细节
后门机制
fetch_ver_info()- 调用file_get_contents()获取远程数据,传入@unserialize()执行PHP反序列化攻击version_info_clean()- 执行任意函数调用,远程服务器完全控制函数名和参数- 未认证REST API端点:
permission_callback: __return_true
C2通信创新
恶意软件通过Ethereum智能合约解析C2域名,查询公共区块链RPC端点。传统域名封禁无法生效,因为攻击者可以随时更新智能合约指向新域名。
重要: WordPress.org的强制更新只禁用了插件的phone-home功能,但没有清理wp-config.php中的已注入代码!
受影响插件列表
- Accordion and Accordion Slider
- Album and Image Gallery Plus Lightbox
- Audio Player with Playlist Ultimate
- Blog Designer for Post and Widget
- Countdown Timer Ultimate
- Featured Post Creative
- Footer Mega Grid Columns
- Hero Banner Ultimate
- HTML5 VideoGallery Plus Player
- Meta Slider and Carousel with Lightbox
- Popup Anything on Click
- Portfolio and Projects
- Post Grid and Filter Ultimate
- Woo Product Slider and Carousel
- WP Blog and Widgets
- WP Team Showcase and Slider
- WP Testimonial with Widget
修复方案
检查wp-config.php
恶意代码追加在require_once ABSPATH . wp-settings.php;同一行,容易被忽略。如果文件大小显著增大(注入payload约6KB),说明站点已被主动入侵。
清理步骤
- 删除插件目录下的
wpos-analytics/目录 - 从主插件PHP文件中删除loader函数(搜索"Plugin Wpos Analytics Data Starts"或wpos_analytics_anl)
- 将版本号添加"-patched"后缀
- 使用
wp plugin install your-plugin-patched.zip --force重新安装
信任问题
这是两周内第二起WordPress插件供应链攻击。模式相同:收购受信赖的插件,继承WordPress.org提交权限,注入恶意代码。
Essential Plugin的Flippa listing是公开的,买家的SEO和在线赌博营销背景也是公开的,但WordPress.org没有任何机制来标记或审查插件所有权变更。