- Ключевые выводы
- Что случилось: покупка Essential Plugin и появление бекдора
- Как работает бекдор и что он делает
- Какие плагины оказались под угрозой
- Почему WordPress не предупреждает об изменении владельца плагина
- Как проверить свой сайт и избавиться от заражённого плагина
- Что делать, если ваш сайт уже заразился
- Справка
Ключевые выводы
- 30 популярных плагинов WordPress были заражены бекдором после покупки компании Essential Plugin.
- Бекдор активировался в этом месяце и начал распространать вредоносный код на более чем 20 000 сайтов.
- Пользователям WordPress рекомендуется проверить установленные плагины и удалить все заражённые версии.
WordPress — самая популярная платформа для создания сайтов, но её открытость делает её уязвимой. Когда в руки плагинов попадает недобросовестный владелец, последствия могут быть масштабными. В этой статье разберём, как произошёл массовый взлом, какие плагины пострадали и что делать, чтобы ваш сайт остался в безопасности.
Что случилось: покупка Essential Plugin и появление бекдора
В начале 2024 года небольшая компания Essential Plugin была продана новому владельцу через площадку Flippa. Новый владелец сразу же внес изменения в исходный код более чем 30 популярных плагинов, добавив скрытый бекдор.
Бекдор оставался неактивным, пока в текущем месяце он не «проснулся» и не начал скачивать и исполнять вредоносный скрипт на каждом сайте, где установлен один из заражённых плагинов.
По данным основателя хостинга Anchor Hosting Остина Гиндера, в результате атаки в сеть попали более 20 000 работающих установок WordPress.
Эти плагины ранее заявляли о более чем 400 000 установках и обслуживали свыше 15 000 клиентов компании Essential Plugin.
Как работает бекдор и что он делает
Бекдор — это скрытый вход в приложение, который позволяет злоумышленнику выполнить произвольный код без ведома владельца. В случае с WordPress‑плагинами бекдор:
- проверяет, есть ли у сайта соединение с командным сервером злоумышленников;
- скачивает малварь (обычно JavaScript‑добавки или PHP‑шеллы);
- встраивает её в файлы темы или в базу данных, чтобы обеспечить постоянный контроль.
Поскольку плагины имеют высокий уровень доступа к файловой системе и базе данных, они идеальная точка входа для масштабных атак.
Какие плагины оказались под угрозой
Список заражённых расширений опубликован в блоге Остина Гиндера. Среди них – популярные решения для таймеров, обратного отсчёта, форм обратной связи и SEO‑оптимизации. Примеры названий:
- Countdown Timer Ultimate
- WP Social Share
- Advanced Contact Form
- SEO Booster Pro
- Custom Post Types Generator
Все они были удалены из официального каталога WordPress.org и помечены как «permanent closure», но многие сайты всё ещё используют их копии.
Почему WordPress не предупреждает об изменении владельца плагина
Платформа не уведомляет администраторов о смене юридического лица, под которым поддерживается плагин. Это значит, что покупка компании может открыть путь к «скрытому» вмешательству без каких‑либо сигнальных индикаторов.
С учётом того, что более 60 % всех сайтов в интернете работают на WordPress, подобный «supply chain attack» представляет реальную угрозу для малого и крупного бизнеса.
Как проверить свой сайт и избавиться от заражённого плагина
Шаг 1: зайдите в админ‑панель WordPress → «Плагины». Ищите любые из названий, указанных в списке Гиндера.
Шаг 2: если нашли – отключите плагин и удалите его файлы через FTP или через встроенный менеджер файлов.
Шаг 3: проверьте файлы темы и базу данных на наличие неизвестного кода (часто это строки, начинающиеся с «eval(base64_decode»).
Шаг 4: обновите все остальные плагины и ядро WordPress до последних версий.
Шаг 5: установите и запустите сканер безопасности (например, Wordfence или Sucuri) для окончательной проверки.
Что делать, если ваш сайт уже заразился
Если вредоносный код уже внедрён, простое удаление плагина не спасёт сайт. Нужно:
- восстановить чистую резервную копию до момента активации бекдора;
- провести полное сканирование и очистку всех файлов и таблиц БД;
- сменить все пароли (admin, FTP, база данных);
- отправить запрос в хостинг‑провайдера о возможных вредоносных процессах.
Если у вас нет резервных копий, лучше обратиться к специалисту по веб‑безопасности.
Справка
WordPress — открытая система управления контентом, запущенная в 2003 году. На сегодня её используют более 40 % всех сайтов в интернете, благодаря огромному каталогу плагинов и тем. Платформа поддерживает PHP ≥ 7.4 и MySQL ≥ 5.6, что делает её доступной как для новичков, так и для крупных корпораций.
Essential Plugin — компания, специализировавшаяся на разработке и продаже плагинов для WordPress. По данным официального сайта, у неё более 400 000 установок и более 15 000 платных клиентов. В 2023 году компания была продана через Flippa, после чего появился подозрительный бекдор.
Остин Гиндер (Austin Ginder) — основатель хостинг‑компании Anchor Hosting. Он известен расследованиями «supply chain»‑атак на WordPress и регулярно публикует предупреждения в своём блоге. Благодаря его находке широкая аудитория узнала о заражённой партии плагинов.
Flippa — онлайн‑рынок, где можно купить или продать веб‑активы, включая сайты, домены и бизнес‑приложения. Платформа часто используется стартапами для выхода из проекта, но покупки через неё требуют тщательной проверки кода.
Wordfence — популярный плагин‑брандмауэр и сканер безопасности для WordPress. Позволяет обнаруживать вредоносный код, блокировать подозрительные IP‑адреса и получать уведомления о попытках взлома.
Итоги просты: покупка плагина — это потенциальный риск, если новый владелец решит добавить вредоносный код. Проверяйте, обновляйте и сканируйте свои сайты регулярно. Лучше предотвратить проблему, чем потом тратить часы и деньги на её устранение.
