Хтось купив 26 плагінів WordPress і вбудував у них бекдор — тисячі сайтів під загрозою
Дата публікації
15.04.2026
Десятки WordPress-плагінів від розробника Essential Plugin назавжди видалені з каталогу WordPress.org після того, як у них виявили бекдор. Шкідливий код потрапив у плагіни після того, як бізнес придбав новий власник — і вісім місяців непомітно чекав на активацію. Про атаку повідомив засновник хостингової компанії Anchor Hosting Остін Гіндер, виявивши проблему під час аудиту клієнтського сайту.
Як це сталося
Індійські розробники розробляли Essential Plugin (раніше — WP Online Support) з 2015 року. До кінця 2024-го їхній дохід просів на 35–45%, і весь портфель виставили на продаж на торговому майданчику Flippa. Покупець, відомий як «Kris», із досвідом у SEO, криптовалютах і гемблінг-маркетингу, заплатив за нього шестизначну суму.
8 серпня 2025 року, вже в першому коміті після придбання, в коді з’явився бекдор. Ззовні оновлення виглядало як перевірка сумісності з WordPress 6.8.2. Та насправді до файлу class-anylc-admin.php додали 191 рядок коду включно з PHP-десеріалізаційним бекдором, який дозволяв віддалене виконання довільних функцій.
Сервер зловмисника вісім місяців повертав нормальні відповіді, а 5–6 квітня 2026 року бекдор активувався та почав вбудовувати SEO-спам у файл wp-config.php на кожному сайті, де був встановлений хоча б один із цих плагінів.
Масштаб
За даними Essential Plugin, загальна кількість встановлень перевищувала 400 000, а клієнтська база — 15 000 користувачів. WordPress.org зазначає, що уражені плагіни були активні на понад 20 000 сайтах.
Серед них — Starter Templates, Blog Designer, Countdown Timer Ultimate, Slider and Carousel, Album and Image Gallery та десятки інших типових утиліт, які роками накопичуються на сайтах агенцій і малого бізнесу.
зазначений у публікації Остіна Гіндера. Видаліть їх повністю та підберіть альтернативи — ці плагіни більше ніколи не будуть відновлені.
Чому це пройшло непомітно
WordPress.org не повідомляє користувачів, коли плагін змінює власника. Покупця додатково не перевіряють, а його перший коміт не проходить окремого ревʼю. Новий власник створив свіжий обліковий запис на WordPress.org, отримав SVN-доступ до 26 придбаних плагінів і в той самий день завантажив бекдор. 7 квітня WordPress.org назавжди закрив 31 плагін від цього автора.
За словами Гіндера, це вже другий інцидент за два тижні — подібна історія сталася і з плагіном Smart Slider 3 Pro.
Що робити
WordPress.org примусово випустив оновлення 2.6.9.1, яке відключає бекдор-модуль, але не прибирає вже вбудований шкідливий код із wp-config.php. Якщо будь-який із цих плагінів був активний на вашому сайті до 8 квітня 2026 року, потрібно перевірити wp-config.php — біля рядка require_once ABSPATH . 'wp-settings.php' може бути вбудований PHP-код (розмір файлу збільшується приблизно на 6 Кб).
Вся ця історія — нагадування про те, що безпека сайту на WordPress залежить і від того, кому належать встановлені на ньому плагіни. Регулярний аудит наявних розширень, відстеження змін власників і мінімізація кількості плагінів — це частина технічної гігієни, про яку не варто забувати під час розробки та підтримки сайту.
Комментарии