В 31 плагин WordPress внедрили бэкдоры после смены владельца

Инсайдеры обнаружили масштабную угрозу безопасности для пользователей WordPress. Как сообщает основатель Anchor Hosting Остин Гиндер, неизвестный злоумышленник приобрёл 31 плагин через маркетплейс Flippa и внедрил в каждый из них бэкдор.

Первым тревогу поднял плагин Countdown Timer Ultimate, который после долгого периода бездействия начал распространять вредоносный код. Изначально все эти плагины принадлежали команде Essential Plugin, которая продала свой бизнес из-за падения доходов. Новый владелец, по данным расследования, внедрил уязвимости уже через месяц после покупки.

Бэкдоры были активированы примерно 5 апреля 2026 года, после чего команда WordPress.org отключила все 31 плагин. Гиндер критикует систему за отсутствие механизмов оповещения пользователей о смене владельца плагина и дополнительной проверки кода новыми разработчиками.

Это не первый подобный случай. В 2017 году плагин Display Widgets с 200 000 установок был куплен за $15 000 (~1 200 000 рублей) и использован для распространения спама. Ранее в апреле 2026 года аналогичная атака была совершена через плагин Widget Logic.

По данным сайта Essential Plugin, их продуктами пользуются более 15 000 клиентов по всему миру, что делает эту атаку потенциально очень масштабной.