黑客買下30款插件后，首次提交代碼就埋下后門，靜默8個月后全面爆發(fā)！

有人一次性收購了 30 個 WordPress 插件，并在全部插件中植入了后門。

作者 | Austin Ginder 編譯 | 蘇宓

出品 | CSDN（ID：CSDNnews）

30 余款插件被批量植入后門、斥資六位數(shù)、長達(dá) 8 個月未被察覺、甚至借助以太坊智能合約繞過傳統(tǒng)安全攔截，一場隱蔽的 SEO 劫持與遠(yuǎn)程入侵事件于近日被安全研究員 Austin Ginder 披露出來。

而就在一周前，他才曝光過一起針對一款名為 Widget Logic 的 WordPress 插件的供應(yīng)鏈攻擊事件：一款原本口碑可靠的插件，在被新收購方接手后，遭植入惡意代碼。

如今同類事件再度上演，且本次波及規(guī)模要大得多，最終導(dǎo)致 WordPress.org 緊急下架并封禁 31 款插件。

起因：一名客戶發(fā)現(xiàn)了一條安全通知

發(fā)現(xiàn)這個后門也屬偶然，一切源于 WordPress 后臺的一條安全預(yù)警。Austin Ginder 在博客上寫道，他們的一位客戶給他發(fā)了一條消息反饋，稱其客戶站點的 WordPress 儀表盤彈出了風(fēng)險提示。該通知由 WordPress.org 插件官方團(tuán)隊推送，警告一款名為 Countdown Timer Ultimate 的插件存在高危代碼，可能導(dǎo)致未授權(quán)第三方非法入侵網(wǎng)站。

隨后，Austin Ginder 介入并展開了更深入的安全審計，逐步揭開了這起攻擊的完整鏈條。

他指出，事發(fā)后，WordPress.org 已強(qiáng)制將這款插件升級至 2.6.9.1 版本，官方更新本應(yīng)清除惡意程序，但實際損害早已形成。

惡意程序藏匿核心配置文件

調(diào)查發(fā)現(xiàn)，惡意代碼被秘密植入站點核心配置文件 wp-config.php 中。

問題源頭來自插件內(nèi)置的 wpos-analytics 模塊，該模塊會主動向 analytics.essentialplugin.com 發(fā)起遠(yuǎn)程聯(lián)網(wǎng)請求，下載名為wp-comments-posts.php的后門文件。

該文件刻意仿冒 WordPress 系統(tǒng)核心文件wp-comments-post.php，極具迷惑性，隨后利用其后門能力，向 wp-config.php 注入一大段惡意 PHP 代碼。

此次注入的惡意程序設(shè)計極為精巧：它會從遠(yuǎn)程命令與控制服務(wù)器（C2 服務(wù)器）拉取垃圾外鏈、跳轉(zhuǎn)劫持規(guī)則以及虛假頁面內(nèi)容；并且采用定向投放機(jī)制，僅向谷歌爬蟲展示垃圾內(nèi)容，網(wǎng)站管理員日常訪問完全無法察覺異常。

整件事最離譜的細(xì)節(jié)在于——攻擊者通過以太坊智能合約解析 C2 域名，調(diào)用區(qū)塊鏈公共 RPC 節(jié)點完成域名解析。傳統(tǒng)的域名關(guān)停、解析攔截手段對此完全失效，攻擊者只需更新智能合約地址，就能隨時切換新的控制域名，持久化維持入侵通道。

官方強(qiáng)制更新治標(biāo)不治本

WordPress.org 推送的 2.6.9.1 版本，僅封禁了插件遠(yuǎn)程聯(lián)網(wǎng)的外聯(lián)機(jī)制，徹底切斷惡意模塊的通信通道，卻完全沒有清理已經(jīng)寫入 wp-config.php 的注入代碼。

這也意味著，網(wǎng)站的 SEO 垃圾注入漏洞依舊存續(xù)，隱藏違規(guī)內(nèi)容仍在持續(xù)投放給谷歌爬蟲。

通過備份溯源取證，精準(zhǔn)鎖定了惡意代碼的注入時間窗口

Austin Ginder 表示，其平臺 CaptainCore 會采用 restic 工具每日自動備份站點數(shù)據(jù)，他從八份不同時間的備份中提取 wp-config.php，以文件大小為參照，用二分比對的方式逐一排查異常。

經(jīng)核實，惡意注入行為發(fā)生在 2026 年 4 月 6 日 04:22 至 11:06 之間，整個漏洞暴露窗口期為 6 小時 44 分鐘。

后門潛伏八月，長期靜默蟄伏

追溯插件完整迭代記錄（共計939次快速保存快照）可以發(fā)現(xiàn)，這款插件自2019年1月就部署在該網(wǎng)站中。多年以來，wpos-analytics 模塊僅作為合規(guī)的數(shù)據(jù)分析授權(quán)功能正常運(yùn)行，無任何異常。

Austin Ginder 指出，轉(zhuǎn)折點出現(xiàn)在2025年8月8日發(fā)布的 2.6.7 版本。該版本更新日志僅標(biāo)注“適配 WordPress 6.8.2 版本兼容性”，實則暗中新增191行惡意代碼，其中包含一處 PHP 反序列化后門。對應(yīng)文件 class-anylc-admin.php 代碼行數(shù)，直接從473行擴(kuò)增至664行。

新增惡意代碼主要包含三項高危功能：

1. 新增 `fetch_ver_info()` 方法，通過遠(yuǎn)程讀取攻擊者服務(wù)器數(shù)據(jù)，并將返回內(nèi)容交由反序列化函數(shù)處理；

2. 新增 `version_info_clean()` 方法，可執(zhí)行任意動態(tài)函數(shù)調(diào)用，調(diào)用參數(shù)、函數(shù)名稱全部由遠(yuǎn)程惡意數(shù)據(jù)控制；

3. 開放無需身份驗證的 REST API 接口，關(guān)閉權(quán)限校驗。

這套組合漏洞屬于典型的任意代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可完全控制調(diào)用函數(shù)、傳入?yún)?shù)等全部執(zhí)行邏輯。該后門完成植入后，整整靜默潛伏 8 個月，最終在 2026 年 4 月 5 日至 6 日被批量激活利用。

插件打包出售，收購方蓄意投毒

這起安全事件的核心誘因，是整套插件資產(chǎn)的低價轉(zhuǎn)手交易。

該系列插件最初由印度開發(fā)團(tuán)隊打造，核心成員包括 Minesh Shah、Anoop Ranawat 與 Pratik Jain。團(tuán)隊約2015年以 WP Online Support 為品牌開發(fā) WordPress 插件，后續(xù)更名為 Essential Plugin，逐步打造出30余款免費(fèi)插件，并配套推出付費(fèi)增值版本，形成完整產(chǎn)品矩陣。

2024 年末，該團(tuán)隊營收下滑 35%~45%，創(chuàng)始人 Minesh 隨即在 Flippa 平臺掛牌，打包出售整套插件業(yè)務(wù)與品牌資產(chǎn)。

最終，一位化名「Kris」的買家以六位數(shù)美元價格完成收購。公開資料顯示，該買家長期涉足 SEO 灰產(chǎn)、加密貨幣以及網(wǎng)絡(luò)博彩營銷領(lǐng)域。Flippa 平臺還曾在 2025 年 7 月，將這筆交易作為經(jīng)典商業(yè)收購案例公開報道。

完整時間線梳理

2015 年 2 月

wponlinesupport.com 域名注冊，團(tuán)隊正式開啟 WordPress 插件開發(fā)業(yè)務(wù)。

2016 年 10 月

核心插件 Countdown Timer Ultimate 由開發(fā)者 anoopranawat 正式上架 WordPress.org 插件商城。

2021 年 8 月

essentialplugin.com 域名注冊，團(tuán)隊品牌從 WP Online Support 全面升級為 Essential Plugin。

2024 年末

業(yè)務(wù)營收大幅縮水，創(chuàng)始人掛牌打包出售全部插件資產(chǎn)。

2025 年初

灰產(chǎn)背景買家 Kris 通過 Flippa 完成收購，全盤接手 Essential Plugin 所有產(chǎn)品。

2025 年 5 月 12 日

注冊全新的 WordPress.org 開發(fā)者賬號，用于后續(xù)插件版本提交。

2025 年 5 月 14 日-16 日

原官方開發(fā)賬號完成最后一次代碼提交，代碼作者標(biāo)識被批量篡改。

2025 年 8 月 8 日

新賬號首次提交版本更新，發(fā)布暗藏反序列化遠(yuǎn)程執(zhí)行后門的 2.6.7 版本，更新日志刻意造假隱瞞惡意修改。

2025 年 8 月 30 日

essentialplugin.com 域名 WHOIS 信息被篡改，注冊人改為蘇黎世的 Kim Schmidt，綁定 ProtonMail 隱私郵箱，隱匿真實身份。

2026 年 4 月 5 日- 6 日

后門被批量植入，惡意控制端域名開始向所有搭載該系列插件的網(wǎng)站推送惡意載荷。

2026 年 4 月 7 日

WordPress.org 官方一日之內(nèi)，永久下架封禁 Essential Plugin 旗下全部 31 款插件。

2026 年 4 月 8 日

官方全網(wǎng)強(qiáng)制推送插件自動更新至 2.6.9.1，通過添加終止代碼、注釋屏蔽高危后門函數(shù)，臨時封堵漏洞。

值得注意的是，收購方接手后的第一次代碼提交，就直接植入了高危后門，全程蓄謀已久。

三十余款插件集體下架

2026 年 4 月 7 日，WordPress 官方插件團(tuán)隊采取硬核處置措施，永久下架 Essential Plugin 開發(fā)者名下所有產(chǎn)品，當(dāng)日封禁插件數(shù)量超 30 款。

以下為已確認(rèn)受影響的插件列表：

• Accordion and Accordion Slider — accordion-and-accordion-slider

• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox

• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate

• Blog Designer for Post and Widget — blog-designer-for-post-and-widget

• Countdown Timer Ultimate — countdown-timer-ultimate

• Featured Post Creative — featured-post-creative

• Footer Mega Grid Columns — footer-mega-grid-columns

• Hero Banner Ultimate — hero-banner-ultimate

• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player

• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox

• Popup Anything on Click — popup-anything-on-click

• Portfolio and Projects — portfolio-and-projects

• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider

• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate

• Preloader for Website — preloader-for-website

• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce

• Responsive WP FAQ with Category — sp-faq

• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders

• SP News And Widget — sp-news-and-widget

• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon

• Ticker Ultimate — ticker-ultimate

• Timeline and History Slider — timeline-and-history-slider

• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category

• WP Blog and Widgets — wp-blog-and-widgets

• WP Featured Content and Slider — wp-featured-content-and-slider

• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider

• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider

• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel

• WP Team Showcase and Slider — wp-team-showcase-and-slider

• WP Testimonial with Widget — wp-testimonial-with-widget

• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget

所有相關(guān)插件已被永久下架。當(dāng)前在 WordPress.org 上搜索該作者名稱已無任何結(jié)果，插件頁面完全消失。與此同時，analytics.essentialplugin.com 接口也已失效，返回內(nèi)容僅為：{“message”:“closed”}。

類似的攻擊其實早已發(fā)生過

2017 年，一名使用化名 “Daley Tias” 的買家以 1.5 萬美元收購了 Display Widgets 插件（約 20 萬次安裝），隨后在代碼中植入了網(wǎng)貸垃圾廣告。此后，該攻擊者又以相同手法陸續(xù)入侵了至少 9 個插件。

本次 Essential Plugin 事件，本質(zhì)上只是同一套攻擊劇本的放大版：超過 30 個插件、數(shù)十萬活躍安裝量，以及一個通過公開市場完成收購、但在數(shù)月內(nèi)被武器化的八年歷史項目。

在實際處置中，相關(guān)環(huán)境中的插件已經(jīng)全部完成修復(fù)。WordPress.org 的強(qiáng)制更新雖然加入了 return; 語句，用于阻斷插件的“回連”功能，但本質(zhì)上只是臨時性修補(bǔ)措施，并未移除 wpos-analytics 模塊本體及其全部代碼邏輯。

因此，進(jìn)一步的處理方式是直接重構(gòu)插件版本，將整個后門模塊徹底剝離，并重新打包生成干凈版本。

在實際排查中，Austin Ginder 在 22 個客戶站點的 26 個 Essential Plugin 插件中，確認(rèn)有 12 個被使用，其中 10 個已完成修復(fù)。其余部分要么本身不包含后門模塊，要么屬于原作者的“pro”分支版本。對應(yīng)的加固版本已統(tǒng)一托管至 B2 存儲，可用于持續(xù)分發(fā)與替換更新。

wp plugin install https://plugins.captaincore.io/post-grid-and-filter-ultimate-1.7.4-patched.zip --force

每個修復(fù)版本都會徹底移除 wpos-analytics 目錄，從主插件文件中刪除對應(yīng)的加載函數(shù)，并將版本號更新為 -patched 標(biāo)識。插件本身的功能在此過程中依然可以正常運(yùn)行。

通過 Claude Code 可以相對快速地完成修復(fù)流程。只需提供本文作為上下文，并指定需要處理的插件，它即可按相同方式移除 wpos-analytics 模塊，這一模式在 Essential Plugin 系列中基本完全一致。

具體處理步驟如下：

1. 從插件目錄中刪除 wpos-analytics/ 文件夾；

2. 在主插件 PHP 文件中移除加載函數(shù)代碼塊（可通過搜索 “Plugin Wpos Analytics Data Starts” 或 wpos_analytics_anl 定位）；

3. 將插件的 Version 頭信息更新，添加 -patched 標(biāo)識以區(qū)分修復(fù)版本；

4. 最后重新打包壓縮，并通過命令強(qiáng)制覆蓋安裝（wp plugin install your-plugin-patched.zip –force）。

完成插件層面的處理后，還需要重點檢查 wp-config.php 文件。

惡意代碼通常會追加在 require_once ABSPATH . wp-settings.php; 同一行末尾，因此很容易在快速瀏覽時被忽略。如果該文件體積明顯異常增大（注入內(nèi)容通常會增加約 6KB），基本可以判斷站點已經(jīng)遭到實際入侵，此時僅修復(fù)插件是不夠的，還需要進(jìn)行全站級別的徹底清理。

WordPress 插件生態(tài)的信任危機(jī)

短短兩周內(nèi)，連續(xù)兩起大規(guī)模插件供應(yīng)鏈攻擊接連爆發(fā)，手法如出一轍：收購一款擁有穩(wěn)定用戶群的知名插件，獲取其在 WordPress.org 的提交權(quán)限，然后注入惡意代碼。

Essential Plugin 這筆收購全程完全公開，買家的灰產(chǎn)從業(yè)背景清晰可查。然而，這筆收購卻幾乎沒有經(jīng)過任何來自 WordPress.org 的審查就順利完成。

目前，WordPress.org 并沒有針對插件所有權(quán)轉(zhuǎn)移的標(biāo)記或?qū)徍藱C(jī)制：當(dāng)控制權(quán)發(fā)生變更時，用戶不會收到任何“所有權(quán)變更”的通知；開發(fā)者賬號更換后，也不會觸發(fā)額外的代碼審查流程。盡管插件團(tuán)隊在攻擊被發(fā)現(xiàn)后反應(yīng)迅速，但從后門植入到最終被察覺，中間已經(jīng)過去了整整 8 個月。

對于正在運(yùn)營 WordPress 站點的用戶而言，建議盡快對所有站點進(jìn)行排查，確認(rèn)是否使用了上述提到的 26 個插件。一旦發(fā)現(xiàn)，應(yīng)立即進(jìn)行修復(fù)或直接移除。同時，務(wù)必檢查核心配置文件 wp-config.php，確認(rèn)是否存在異常代碼。

來源：https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

【活動分享】"48 小時，與 50+ 位大廠技術(shù)決策者，共探 AI 落地真路徑。"由 CSDN&奇點智能研究院聯(lián)合舉辦的「全球機(jī)器學(xué)習(xí)技術(shù)大會」正式升級為「奇點智能技術(shù)大會」。2026 奇點智能技術(shù)大會將于 4 月 17-18 日在上海環(huán)球港凱悅酒店正式召開，大會聚焦大模型技術(shù)演進(jìn)、智能體系統(tǒng)工程、OpenClaw 生態(tài)實踐及 AI 行業(yè)落地等十二大專題板塊，特邀來自BAT、京東、微軟、小紅書、美團(tuán)等頭部企業(yè)的 50+ 位技術(shù)決策者分享實戰(zhàn)案例。旨在幫助技術(shù)管理者與一線 AI 落地人員規(guī)避選型風(fēng)險、降低試錯成本、獲取可復(fù)用的工程方法論，真正實現(xiàn) AI 技術(shù)的規(guī)模化落地與商業(yè)價值轉(zhuǎn)化。這不僅是一場技術(shù)的盛宴，更是決策者把握 2026 AI 拐點的戰(zhàn)略機(jī)會。