Кто-то купил 26 плагинов WordPress и встроил в них бэкдор — тысячи сайтов под угрозой
Дата публикации
15.04.2026
Десятки WordPress-плагинов от разработчика Essential Plugin навсегда удалены из каталога WordPress.org после того, как в них обнаружили бэкдор. Вредоносный код попал в плагины после того, как бизнес приобрёл новый владелец — и восемь месяцев незаметно ждал активации. Об атаке сообщил основатель хостинговой компании Anchor Hosting Остин Гиндер, обнаружив проблему при аудите клиентского сайта.
Как это произошло
Индийские разработчики создавали Essential Plugin (ранее — WP Online Support) с 2015 года. К концу 2024-го их доход просел на 35–45%, и весь портфель выставили на продажу на торговой площадке Flippa. Покупатель, известный как «Kris», с опытом в SEO, криптовалютах и гемблинг-маркетинге, заплатил за него шестизначную сумму.
8 августа 2025 года, уже в первом коммите после приобретения, в коде появился бэкдор. Внешне обновление выглядело как проверка совместимости с WordPress 6.8.2. Но на самом деле в файл class-anylc-admin.php добавили 191 строку кода, включая PHP-десериализационный бэкдор, который позволял удалённое выполнение произвольных функций.
Сервер злоумышленника восемь месяцев возвращал нормальные ответы, а 5–6 апреля 2026 года бэкдор активировался и начал встраивать SEO-спам в файл wp-config.php на каждом сайте, где был установлен хотя бы один из этих плагинов.
Масштаб
По данным Essential Plugin, общее количество установок превышало 400 000, а клиентская база — 15 000 пользователей. WordPress.org указывает, что затронутые плагины были активны на более чем 20 000 сайтах.
Среди них — Starter Templates, Blog Designer, Countdown Timer Ultimate, Slider and Carousel, Album and Image Gallery и десятки других типичных утилит, которые годами накапливаются на сайтах агентств и малого бизнеса.
указан в публикации Остина Гиндера. Удалите их полностью и подберите альтернативы — эти плагины больше никогда не будут восстановлены.
Почему это прошло незамеченным
WordPress.org не уведомляет пользователей, когда плагин меняет владельца. Покупателя дополнительно не проверяют, а его первый коммит не проходит отдельного ревью. Новый владелец создал свежую учетную запись на WordPress.org, получил SVN-доступ к 26 приобретенным плагинам и в тот же день загрузил бэкдор. 7 апреля WordPress.org навсегда закрыл 31 плагин от этого автора.
По словам Гиндера, это уже второй инцидент за две недели — похожая история произошла и с плагином Smart Slider 3 Pro.
Что делать
WordPress.org принудительно выпустил обновление 2.6.9.1, которое отключает бэкдор-модуль, но не убирает уже встроенный вредоносный код из wp-config.php. Если любой из этих плагинов был активен на вашем сайте до 8 апреля 2026 года, нужно проверить wp-config.php — рядом со строкой require_once ABSPATH . 'wp-settings.php' может быть встроенный PHP-код (размер файла увеличивается примерно на 6 Кб).
Вся эта история — напоминание о том, что безопасность сайта на WordPress зависит и от того, кому принадлежат установленные на нём плагины. Регулярный аудит имеющихся расширений, отслеживание смены владельцев и минимизация количества плагинов — это часть технической гигиены, о которой не стоит забывать при разработке и поддержке сайта.
Комментарии