由于在源代码中发现了后门,数十个 WordPress 插件已被迫下线,这可能导致数千个网站面临恶意软件的威胁。
此次安全漏洞是在 Essential Plugin 被收购后发现的,该公司旗下管理着超过 40 万个插件安装量。据 Anchor Hosting 创始人奥斯汀·金德(Austin Ginder)称,该后门是在公司去年易主后植入的。
金德报告称,恶意代码在插件中处于潜伏状态,直到 2024 年 4 月初才被激活,并开始向活跃的安装实例分发恶意软件。这种供应链攻击利用了插件的更新机制,使得后门能够渗透到任何运行受影响软件的网站中。
插件所有权变更带来的安全隐患
WordPress 插件数据显示,受影响的工具目前仍活跃在超过 20,000 个 WordPress 安装实例中。虽然插件的设计初衷是扩展网站功能,但它们需要对网站核心文件进行深度访问权限,一旦开发者端遭到破坏,就会引发巨大的安全风险。
金德警告称,当插件的所属公司发生变更时,WordPress 用户很少会收到通知。这种透明度的缺失,导致网站管理员在不知情的情况下,其网站的安全与功能管理权可能已经易主。
这是两周内发现的第二起重大的 WordPress 插件劫持事件。安全研究人员此前已多次发出警告,指出此类供应链攻击存在巨大风险,特别是当开发者拥有用户安装环境的广泛权限时。
