有人一次性收購了 30 個(gè) WordPress 插件，并在全部插件中植入了后門。

作者 | Austin Ginder 編譯 | 蘇宓

出品 | CSDN（ID：CSDNnews）

30 余款插件被批量植入后門、斥資六位數(shù)、長達(dá) 8 個(gè)月未被察覺、甚至借助以太坊智能合約繞過傳統(tǒng)安全攔截，一場(chǎng)隱蔽的 SEO 劫持與遠(yuǎn)程入侵事件于近日被安全研究員 Austin Ginder 披露出來。

而就在一周前，他才曝光過一起針對(duì)一款名為 Widget Logic 的 WordPress 插件的供應(yīng)鏈攻擊事件：一款原本口碑可靠的插件，在被新收購方接手后，遭植入惡意代碼。

如今同類事件再度上演，且本次波及規(guī)模要大得多，最終導(dǎo)致 WordPress.org 緊急下架并封禁 31 款插件。

起因：一名客戶發(fā)現(xiàn)了一條安全通知

發(fā)現(xiàn)這個(gè)后門也屬偶然，一切源于 WordPress 后臺(tái)的一條安全預(yù)警。Austin Ginder 在博客上寫道，他們的一位客戶給他發(fā)了一條消息反饋，稱其客戶站點(diǎn)的 WordPress 儀表盤彈出了風(fēng)險(xiǎn)提示。該通知由 WordPress.org 插件官方團(tuán)隊(duì)推送，警告一款名為 Countdown Timer Ultimate 的插件存在高危代碼，可能導(dǎo)致未授權(quán)第三方非法入侵網(wǎng)站。

隨后，Austin Ginder 介入并展開了更深入的安全審計(jì)，逐步揭開了這起攻擊的完整鏈條。

他指出，事發(fā)后，WordPress.org 已強(qiáng)制將這款插件升級(jí)至 2.6.9.1 版本，官方更新本應(yīng)清除惡意程序，但實(shí)際損害早已形成。

惡意程序藏匿核心配置文件

調(diào)查發(fā)現(xiàn)，惡意代碼被秘密植入站點(diǎn)核心配置文件 wp-config.php 中。

問題源頭來自插件內(nèi)置的 wpos-analytics 模塊，該模塊會(huì)主動(dòng)向 analytics.essentialplugin.com 發(fā)起遠(yuǎn)程聯(lián)網(wǎng)請(qǐng)求，下載名為wp-comments-posts.php的后門文件。

該文件刻意仿冒 WordPress 系統(tǒng)核心文件wp-comments-post.php，極具迷惑性，隨后利用其后門能力，向 wp-config.php 注入一大段惡意 PHP 代碼。

此次注入的惡意程序設(shè)計(jì)極為精巧：它會(huì)從遠(yuǎn)程命令與控制服務(wù)器（C2 服務(wù)器）拉取垃圾外鏈、跳轉(zhuǎn)劫持規(guī)則以及虛假頁面內(nèi)容；并且采用定向投放機(jī)制，僅向谷歌爬蟲展示垃圾內(nèi)容，網(wǎng)站管理員日常訪問完全無法察覺異常。

整件事最離譜的細(xì)節(jié)在于——攻擊者通過以太坊智能合約解析 C2 域名，調(diào)用區(qū)塊鏈公共 RPC 節(jié)點(diǎn)完成域名解析。傳統(tǒng)的域名關(guān)停、解析攔截手段對(duì)此完全失效，攻擊者只需更新智能合約地址，就能隨時(shí)切換新的控制域名，持久化維持入侵通道。

官方強(qiáng)制更新治標(biāo)不治本

WordPress.org 推送的 2.6.9.1 版本，僅封禁了插件遠(yuǎn)程聯(lián)網(wǎng)的外聯(lián)機(jī)制，徹底切斷惡意模塊的通信通道，卻完全沒有清理已經(jīng)寫入 wp-config.php 的注入代碼。

這也意味著，網(wǎng)站的 SEO 垃圾注入漏洞依舊存續(xù)，隱藏違規(guī)內(nèi)容仍在持續(xù)投放給谷歌爬蟲。

通過備份溯源取證，精準(zhǔn)鎖定了惡意代碼的注入時(shí)間窗口

Austin Ginder 表示，其平臺(tái) CaptainCore 會(huì)采用 restic 工具每日自動(dòng)備份站點(diǎn)數(shù)據(jù)，他從八份不同時(shí)間的備份中提取 wp-config.php，以文件大小為參照，用二分比對(duì)的方式逐一排查異常。

經(jīng)核實(shí)，惡意注入行為發(fā)生在 2026 年 4 月 6 日 04:22 至 11:06 之間，整個(gè)漏洞暴露窗口期為 6 小時(shí) 44 分鐘。

后門潛伏八月，長期靜默蟄伏

追溯插件完整迭代記錄（共計(jì)939次快速保存快照）可以發(fā)現(xiàn)，這款插件自2019年1月就部署在該網(wǎng)站中。多年以來，wpos-analytics 模塊僅作為合規(guī)的數(shù)據(jù)分析授權(quán)功能正常運(yùn)行，無任何異常。

Austin Ginder 指出，轉(zhuǎn)折點(diǎn)出現(xiàn)在2025年8月8日發(fā)布的 2.6.7 版本。該版本更新日志僅標(biāo)注“適配 WordPress 6.8.2 版本兼容性”，實(shí)則暗中新增191行惡意代碼，其中包含一處 PHP 反序列化后門。對(duì)應(yīng)文件 class-anylc-admin.php 代碼行數(shù)，直接從473行擴(kuò)增至664行。

新增惡意代碼主要包含三項(xiàng)高危功能：

1. 新增 `fetch_ver_info()` 方法，通過遠(yuǎn)程讀取攻擊者服務(wù)器數(shù)據(jù)，并將返回內(nèi)容交由反序列化函數(shù)處理；

2. 新增 `version_info_clean()` 方法，可執(zhí)行任意動(dòng)態(tài)函數(shù)調(diào)用，調(diào)用參數(shù)、函數(shù)名稱全部由遠(yuǎn)程惡意數(shù)據(jù)控制；

3. 開放無需身份驗(yàn)證的 REST API 接口，關(guān)閉權(quán)限校驗(yàn)。

這套組合漏洞屬于典型的任意代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可完全控制調(diào)用函數(shù)、傳入?yún)?shù)等全部執(zhí)行邏輯。該后門完成植入后，整整靜默潛伏 8 個(gè)月，最終在 2026 年 4 月 5 日至 6 日被批量激活利用。

插件打包出售，收購方蓄意投毒

這起安全事件的核心誘因，是整套插件資產(chǎn)的低價(jià)轉(zhuǎn)手交易。

該系列插件最初由印度開發(fā)團(tuán)隊(duì)打造，核心成員包括 Minesh Shah、Anoop Ranawat 與 Pratik Jain。團(tuán)隊(duì)約2015年以 WP Online Support 為品牌開發(fā) WordPress 插件，后續(xù)更名為 Essential Plugin，逐步打造出30余款免費(fèi)插件，并配套推出付費(fèi)增值版本，形成完整產(chǎn)品矩陣。

2024 年末，該團(tuán)隊(duì)營收下滑 35%~45%，創(chuàng)始人 Minesh 隨即在 Flippa 平臺(tái)掛牌，打包出售整套插件業(yè)務(wù)與品牌資產(chǎn)。

最終，一位化名「Kris」的買家以六位數(shù)美元價(jià)格完成收購。公開資料顯示，該買家長期涉足 SEO 灰產(chǎn)、加密貨幣以及網(wǎng)絡(luò)博彩營銷領(lǐng)域。Flippa 平臺(tái)還曾在 2025 年 7 月，將這筆交易作為經(jīng)典商業(yè)收購案例公開報(bào)道。

完整時(shí)間線梳理

2015 年 2 月

wponlinesupport.com 域名注冊(cè)，團(tuán)隊(duì)正式開啟 WordPress 插件開發(fā)業(yè)務(wù)。

2016 年 10 月

核心插件 Countdown Timer Ultimate 由開發(fā)者 anoopranawat 正式上架 WordPress.org 插件商城。

2021 年 8 月

essentialplugin.com 域名注冊(cè)，團(tuán)隊(duì)品牌從 WP Online Support 全面升級(jí)為 Essential Plugin。

2024 年末

業(yè)務(wù)營收大幅縮水，創(chuàng)始人掛牌打包出售全部插件資產(chǎn)。

2025 年初

灰產(chǎn)背景買家 Kris 通過 Flippa 完成收購，全盤接手 Essential Plugin 所有產(chǎn)品。

2025 年 5 月 12 日

注冊(cè)全新的 WordPress.org 開發(fā)者賬號(hào)，用于后續(xù)插件版本提交。

2025 年 5 月 14 日-16 日

原官方開發(fā)賬號(hào)完成最后一次代碼提交，代碼作者標(biāo)識(shí)被批量篡改。

2025 年 8 月 8 日

新賬號(hào)首次提交版本更新，發(fā)布暗藏反序列化遠(yuǎn)程執(zhí)行后門的 2.6.7 版本，更新日志刻意造假隱瞞惡意修改。

2025 年 8 月 30 日

essentialplugin.com 域名 WHOIS 信息被篡改，注冊(cè)人改為蘇黎世的 Kim Schmidt，綁定 ProtonMail 隱私郵箱，隱匿真實(shí)身份。

2026 年 4 月 5 日- 6 日

后門被批量植入，惡意控制端域名開始向所有搭載該系列插件的網(wǎng)站推送惡意載荷。

2026 年 4 月 7 日

WordPress.org 官方一日之內(nèi)，永久下架封禁 Essential Plugin 旗下全部 31 款插件。

2026 年 4 月 8 日

官方全網(wǎng)強(qiáng)制推送插件自動(dòng)更新至 2.6.9.1，通過添加終止代碼、注釋屏蔽高危后門函數(shù)，臨時(shí)封堵漏洞。

值得注意的是，收購方接手后的第一次代碼提交，就直接植入了高危后門，全程蓄謀已久。

三十余款插件集體下架

2026 年 4 月 7 日，WordPress 官方插件團(tuán)隊(duì)采取硬核處置措施，永久下架 Essential Plugin 開發(fā)者名下所有產(chǎn)品，當(dāng)日封禁插件數(shù)量超 30 款。

以下為已確認(rèn)受影響的插件列表：

• Accordion and Accordion Slider — accordion-and-accordion-slider

• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox

• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate

• Blog Designer for Post and Widget — blog-designer-for-post-and-widget

• Countdown Timer Ultimate — countdown-timer-ultimate

• Featured Post Creative — featured-post-creative

• Footer Mega Grid Columns — footer-mega-grid-columns

• Hero Banner Ultimate — hero-banner-ultimate

• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player

• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox

• Popup Anything on Click — popup-anything-on-click

• Portfolio and Projects — portfolio-and-projects

• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider

• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate

• Preloader for Website — preloader-for-website

• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce

• Responsive WP FAQ with Category — sp-faq

• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders

• SP News And Widget — sp-news-and-widget

• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon

• Ticker Ultimate — ticker-ultimate

• Timeline and History Slider — timeline-and-history-slider

• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category

• WP Blog and Widgets — wp-blog-and-widgets

• WP Featured Content and Slider — wp-featured-content-and-slider

• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider

• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider

• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel

• WP Team Showcase and Slider — wp-team-showcase-and-slider

• WP Testimonial with Widget — wp-testimonial-with-widget

• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget

所有相關(guān)插件已被永久下架。當(dāng)前在 WordPress.org 上搜索該作者名稱已無任何結(jié)果，插件頁面完全消失。與此同時(shí)，analytics.essentialplugin.com 接口也已失效，返回內(nèi)容僅為：{“message”:“closed”}。

類似的攻擊其實(shí)早已發(fā)生過

2017 年，一名使用化名 “Daley Tias” 的買家以 1.5 萬美元收購了 Display Widgets 插件（約 20 萬次安裝），隨后在代碼中植入了網(wǎng)貸垃圾廣告。此后，該攻擊者又以相同手法陸續(xù)入侵了至少 9 個(gè)插件。

本次 Essential Plugin 事件，本質(zhì)上只是同一套攻擊劇本的放大版：超過 30 個(gè)插件、數(shù)十萬活躍安裝量，以及一個(gè)通過公開市場(chǎng)完成收購、但在數(shù)月內(nèi)被武器化的八年歷史項(xiàng)目。

在實(shí)際處置中，相關(guān)環(huán)境中的插件已經(jīng)全部完成修復(fù)。WordPress.org 的強(qiáng)制更新雖然加入了 return; 語句，用于阻斷插件的“回連”功能，但本質(zhì)上只是臨時(shí)性修補(bǔ)措施，并未移除 wpos-analytics 模塊本體及其全部代碼邏輯。

因此，進(jìn)一步的處理方式是直接重構(gòu)插件版本，將整個(gè)后門模塊徹底剝離，并重新打包生成干凈版本。

在實(shí)際排查中，Austin Ginder 在 22 個(gè)客戶站點(diǎn)的 26 個(gè) Essential Plugin 插件中，確認(rèn)有 12 個(gè)被使用，其中 10 個(gè)已完成修復(fù)。其余部分要么本身不包含后門模塊，要么屬于原作者的“pro”分支版本。對(duì)應(yīng)的加固版本已統(tǒng)一托管至 B2 存儲(chǔ)，可用于持續(xù)分發(fā)與替換更新。

wp plugin install https://plugins.captaincore.io/post-grid-and-filter-ultimate-1.7.4-patched.zip --force

每個(gè)修復(fù)版本都會(huì)徹底移除 wpos-analytics 目錄，從主插件文件中刪除對(duì)應(yīng)的加載函數(shù)，并將版本號(hào)更新為 -patched 標(biāo)識(shí)。插件本身的功能在此過程中依然可以正常運(yùn)行。

通過 Claude Code 可以相對(duì)快速地完成修復(fù)流程。只需提供本文作為上下文，并指定需要處理的插件，它即可按相同方式移除 wpos-analytics 模塊，這一模式在 Essential Plugin 系列中基本完全一致。

具體處理步驟如下：

1. 從插件目錄中刪除 wpos-analytics/ 文件夾；

2. 在主插件 PHP 文件中移除加載函數(shù)代碼塊（可通過搜索 “Plugin Wpos Analytics Data Starts” 或 wpos_analytics_anl 定位）；

3. 將插件的 Version 頭信息更新，添加 -patched 標(biāo)識(shí)以區(qū)分修復(fù)版本；

4. 最后重新打包壓縮，并通過命令強(qiáng)制覆蓋安裝（wp plugin install your-plugin-patched.zip –force）。

完成插件層面的處理后，還需要重點(diǎn)檢查 wp-config.php 文件。

惡意代碼通常會(huì)追加在 require_once ABSPATH . wp-settings.php; 同一行末尾，因此很容易在快速瀏覽時(shí)被忽略。如果該文件體積明顯異常增大（注入內(nèi)容通常會(huì)增加約 6KB），基本可以判斷站點(diǎn)已經(jīng)遭到實(shí)際入侵，此時(shí)僅修復(fù)插件是不夠的，還需要進(jìn)行全站級(jí)別的徹底清理。

WordPress 插件生態(tài)的信任危機(jī)

短短兩周內(nèi)，連續(xù)兩起大規(guī)模插件供應(yīng)鏈攻擊接連爆發(fā)，手法如出一轍：收購一款擁有穩(wěn)定用戶群的知名插件，獲取其在 WordPress.org 的提交權(quán)限，然后注入惡意代碼。

Essential Plugin 這筆收購全程完全公開，買家的灰產(chǎn)從業(yè)背景清晰可查。然而，這筆收購卻幾乎沒有經(jīng)過任何來自 WordPress.org 的審查就順利完成。

目前，WordPress.org 并沒有針對(duì)插件所有權(quán)轉(zhuǎn)移的標(biāo)記或?qū)徍藱C(jī)制：當(dāng)控制權(quán)發(fā)生變更時(shí)，用戶不會(huì)收到任何“所有權(quán)變更”的通知；開發(fā)者賬號(hào)更換后，也不會(huì)觸發(fā)額外的代碼審查流程。盡管插件團(tuán)隊(duì)在攻擊被發(fā)現(xiàn)后反應(yīng)迅速，但從后門植入到最終被察覺，中間已經(jīng)過去了整整 8 個(gè)月。

對(duì)于正在運(yùn)營 WordPress 站點(diǎn)的用戶而言，建議盡快對(duì)所有站點(diǎn)進(jìn)行排查，確認(rèn)是否使用了上述提到的 26 個(gè)插件。一旦發(fā)現(xiàn)，應(yīng)立即進(jìn)行修復(fù)或直接移除。同時(shí)，務(wù)必檢查核心配置文件 wp-config.php，確認(rèn)是否存在異常代碼。

來源：https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

【活動(dòng)分享】"48 小時(shí)，與 50+ 位大廠技術(shù)決策者，共探 AI 落地真路徑。"由 CSDN&奇點(diǎn)智能研究院聯(lián)合舉辦的「全球機(jī)器學(xué)習(xí)技術(shù)大會(huì)」正式升級(jí)為「奇點(diǎn)智能技術(shù)大會(huì)」。2026 奇點(diǎn)智能技術(shù)大會(huì)將于 4 月 17-18 日在上海環(huán)球港凱悅酒店正式召開，大會(huì)聚焦大模型技術(shù)演進(jìn)、智能體系統(tǒng)工程、OpenClaw 生態(tài)實(shí)踐及 AI 行業(yè)落地等十二大專題板塊，特邀來自BAT、京東、微軟、小紅書、美團(tuán)等頭部企業(yè)的 50+ 位技術(shù)決策者分享實(shí)戰(zhàn)案例。旨在幫助技術(shù)管理者與一線 AI 落地人員規(guī)避選型風(fēng)險(xiǎn)、降低試錯(cuò)成本、獲取可復(fù)用的工程方法論，真正實(shí)現(xiàn) AI 技術(shù)的規(guī)?；涞嘏c商業(yè)價(jià)值轉(zhuǎn)化。這不僅是一場(chǎng)技術(shù)的盛宴，更是決策者把握 2026 AI 拐點(diǎn)的戰(zhàn)略機(jī)會(huì)。