有人一次性收購(gòu)了 30 個(gè) WordPress 插件，并在全部插件中植入了后門。

作者 | Austin Ginder 編譯 | 蘇宓

出品 | CSDN（ID：CSDNnews）

30 余款插件被批量植入后門、斥資六位數(shù)、長(zhǎng)達(dá) 8 個(gè)月未被察覺、甚至借助以太坊智能合約繞過傳統(tǒng)安全攔截，一場(chǎng)隱蔽的 SEO 劫持與遠(yuǎn)程入侵事件于近日被安全研究員 Austin Ginder 披露出來。

而就在一周前，他才曝光過一起針對(duì)一款名為 Widget Logic 的 WordPress 插件的供應(yīng)鏈攻擊事件：一款原本口碑可靠的插件，在被新收購(gòu)方接手后，遭植入惡意代碼。

如今同類事件再度上演，且本次波及規(guī)模要大得多，最終導(dǎo)致 WordPress.org 緊急下架并封禁 31 款插件。

起因：一名客戶發(fā)現(xiàn)了一條安全通知

發(fā)現(xiàn)這個(gè)后門也屬偶然，一切源于 WordPress 后臺(tái)的一條安全預(yù)警。Austin Ginder 在博客上寫道，他們的一位客戶給他發(fā)了一條消息反饋，稱其客戶站點(diǎn)的 WordPress 儀表盤彈出了風(fēng)險(xiǎn)提示。該通知由 WordPress.org 插件官方團(tuán)隊(duì)推送，警告一款名為 Countdown Timer Ultimate 的插件存在高危代碼，可能導(dǎo)致未授權(quán)第三方非法入侵網(wǎng)站。

隨后，Austin Ginder 介入并展開了更深入的安全審計(jì)，逐步揭開了這起攻擊的完整鏈條。

他指出，事發(fā)后，WordPress.org 已強(qiáng)制將這款插件升級(jí)至 2.6.9.1 版本，官方更新本應(yīng)清除惡意程序，但實(shí)際損害早已形成。

惡意程序藏匿核心配置文件

調(diào)查發(fā)現(xiàn)，惡意代碼被秘密植入站點(diǎn)核心配置文件 wp-config.php 中。

問題源頭來自插件內(nèi)置的 wpos-analytics 模塊，該模塊會(huì)主動(dòng)向 analytics.essentialplugin.com 發(fā)起遠(yuǎn)程聯(lián)網(wǎng)請(qǐng)求，下載名為wp-comments-posts.php的后門文件。

該文件刻意仿冒 WordPress 系統(tǒng)核心文件wp-comments-post.php，極具迷惑性，隨后利用其后門能力，向 wp-config.php 注入一大段惡意 PHP 代碼。

此次注入的惡意程序設(shè)計(jì)極為精巧：它會(huì)從遠(yuǎn)程命令與控制服務(wù)器（C2 服務(wù)器）拉取垃圾外鏈、跳轉(zhuǎn)劫持規(guī)則以及虛假頁面內(nèi)容；并且采用定向投放機(jī)制，僅向谷歌爬蟲展示垃圾內(nèi)容，網(wǎng)站管理員日常訪問完全無法察覺異常。

整件事最離譜的細(xì)節(jié)在于——攻擊者通過以太坊智能合約解析 C2 域名，調(diào)用區(qū)塊鏈公共 RPC 節(jié)點(diǎn)完成域名解析。傳統(tǒng)的域名關(guān)停、解析攔截手段對(duì)此完全失效，攻擊者只需更新智能合約地址，就能隨時(shí)切換新的控制域名，持久化維持入侵通道。

官方強(qiáng)制更新治標(biāo)不治本

WordPress.org 推送的 2.6.9.1 版本，僅封禁了插件遠(yuǎn)程聯(lián)網(wǎng)的外聯(lián)機(jī)制，徹底切斷惡意模塊的通信通道，卻完全沒有清理已經(jīng)寫入 wp-config.php 的注入代碼。

這也意味著，網(wǎng)站的 SEO 垃圾注入漏洞依舊存續(xù)，隱藏違規(guī)內(nèi)容仍在持續(xù)投放給谷歌爬蟲。

通過備份溯源取證，精準(zhǔn)鎖定了惡意代碼的注入時(shí)間窗口

Austin Ginder 表示，其平臺(tái) CaptainCore 會(huì)采用 restic 工具每日自動(dòng)備份站點(diǎn)數(shù)據(jù)，他從八份不同時(shí)間的備份中提取 wp-config.php，以文件大小為參照，用二分比對(duì)的方式逐一排查異常。

經(jīng)核實(shí)，惡意注入行為發(fā)生在 2026 年 4 月 6 日 04:22 至 11:06 之間，整個(gè)漏洞暴露窗口期為 6 小時(shí) 44 分鐘。

后門潛伏八月，長(zhǎng)期靜默蟄伏

追溯插件完整迭代記錄（共計(jì)939次快速保存快照）可以發(fā)現(xiàn)，這款插件自2019年1月就部署在該網(wǎng)站中。多年以來，wpos-analytics 模塊僅作為合規(guī)的數(shù)據(jù)分析授權(quán)功能正常運(yùn)行，無任何異常。

Austin Ginder 指出，轉(zhuǎn)折點(diǎn)出現(xiàn)在2025年8月8日發(fā)布的 2.6.7 版本。該版本更新日志僅標(biāo)注“適配 WordPress 6.8.2 版本兼容性”，實(shí)則暗中新增191行惡意代碼，其中包含一處 PHP 反序列化后門。對(duì)應(yīng)文件 class-anylc-admin.php 代碼行數(shù)，直接從473行擴(kuò)增至664行。

新增惡意代碼主要包含三項(xiàng)高危功能：

1. 新增 `fetch_ver_info()` 方法，通過遠(yuǎn)程讀取攻擊者服務(wù)器數(shù)據(jù)，并將返回內(nèi)容交由反序列化函數(shù)處理；

2. 新增 `version_info_clean()` 方法，可執(zhí)行任意動(dòng)態(tài)函數(shù)調(diào)用，調(diào)用參數(shù)、函數(shù)名稱全部由遠(yuǎn)程惡意數(shù)據(jù)控制；

3. 開放無需身份驗(yàn)證的 REST API 接口，關(guān)閉權(quán)限校驗(yàn)。

這套組合漏洞屬于典型的任意代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可完全控制調(diào)用函數(shù)、傳入?yún)?shù)等全部執(zhí)行邏輯。該后門完成植入后，整整靜默潛伏 8 個(gè)月，最終在 2026 年 4 月 5 日至 6 日被批量激活利用。

插件打包出售，收購(gòu)方蓄意投毒

這起安全事件的核心誘因，是整套插件資產(chǎn)的低價(jià)轉(zhuǎn)手交易。

該系列插件最初由印度開發(fā)團(tuán)隊(duì)打造，核心成員包括 Minesh Shah、Anoop Ranawat 與 Pratik Jain。團(tuán)隊(duì)約2015年以 WP Online Support 為品牌開發(fā) WordPress 插件，后續(xù)更名為 Essential Plugin，逐步打造出30余款免費(fèi)插件，并配套推出付費(fèi)增值版本，形成完整產(chǎn)品矩陣。

2024 年末，該團(tuán)隊(duì)營(yíng)收下滑 35%~45%，創(chuàng)始人 Minesh 隨即在 Flippa 平臺(tái)掛牌，打包出售整套插件業(yè)務(wù)與品牌資產(chǎn)。

最終，一位化名「Kris」的買家以六位數(shù)美元價(jià)格完成收購(gòu)。公開資料顯示，該買家長(zhǎng)期涉足 SEO 灰產(chǎn)、加密貨幣以及網(wǎng)絡(luò)博彩營(yíng)銷領(lǐng)域。Flippa 平臺(tái)還曾在 2025 年 7 月，將這筆交易作為經(jīng)典商業(yè)收購(gòu)案例公開報(bào)道。

完整時(shí)間線梳理

2015 年 2 月

wponlinesupport.com 域名注冊(cè)，團(tuán)隊(duì)正式開啟 WordPress 插件開發(fā)業(yè)務(wù)。

2016 年 10 月

核心插件 Countdown Timer Ultimate 由開發(fā)者 anoopranawat 正式上架 WordPress.org 插件商城。

2021 年 8 月

essentialplugin.com 域名注冊(cè)，團(tuán)隊(duì)品牌從 WP Online Support 全面升級(jí)為 Essential Plugin。

2024 年末

業(yè)務(wù)營(yíng)收大幅縮水，創(chuàng)始人掛牌打包出售全部插件資產(chǎn)。

2025 年初

灰產(chǎn)背景買家 Kris 通過 Flippa 完成收購(gòu)，全盤接手 Essential Plugin 所有產(chǎn)品。

2025 年 5 月 12 日

注冊(cè)全新的 WordPress.org 開發(fā)者賬號(hào)，用于后續(xù)插件版本提交。

2025 年 5 月 14 日-16 日

原官方開發(fā)賬號(hào)完成最后一次代碼提交，代碼作者標(biāo)識(shí)被批量篡改。

2025 年 8 月 8 日

新賬號(hào)首次提交版本更新，發(fā)布暗藏反序列化遠(yuǎn)程執(zhí)行后門的 2.6.7 版本，更新日志刻意造假隱瞞惡意修改。

2025 年 8 月 30 日

essentialplugin.com 域名 WHOIS 信息被篡改，注冊(cè)人改為蘇黎世的 Kim Schmidt，綁定 ProtonMail 隱私郵箱，隱匿真實(shí)身份。

2026 年 4 月 5 日- 6 日

后門被批量植入，惡意控制端域名開始向所有搭載該系列插件的網(wǎng)站推送惡意載荷。

2026 年 4 月 7 日

WordPress.org 官方一日之內(nèi)，永久下架封禁 Essential Plugin 旗下全部 31 款插件。

2026 年 4 月 8 日

官方全網(wǎng)強(qiáng)制推送插件自動(dòng)更新至 2.6.9.1，通過添加終止代碼、注釋屏蔽高危后門函數(shù)，臨時(shí)封堵漏洞。

值得注意的是，收購(gòu)方接手后的第一次代碼提交，就直接植入了高危后門，全程蓄謀已久。

三十余款插件集體下架

2026 年 4 月 7 日，WordPress 官方插件團(tuán)隊(duì)采取硬核處置措施，永久下架 Essential Plugin 開發(fā)者名下所有產(chǎn)品，當(dāng)日封禁插件數(shù)量超 30 款。

以下為已確認(rèn)受影響的插件列表：

• Accordion and Accordion Slider — accordion-and-accordion-slider

• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox

• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate

• Blog Designer for Post and Widget — blog-designer-for-post-and-widget

• Countdown Timer Ultimate — countdown-timer-ultimate

• Featured Post Creative — featured-post-creative

• Footer Mega Grid Columns — footer-mega-grid-columns

• Hero Banner Ultimate — hero-banner-ultimate

• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player

• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox

• Popup Anything on Click — popup-anything-on-click

• Portfolio and Projects — portfolio-and-projects

• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider

• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate

• Preloader for Website — preloader-for-website

• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce

• Responsive WP FAQ with Category — sp-faq

• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders

• SP News And Widget — sp-news-and-widget

• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon

• Ticker Ultimate — ticker-ultimate

• Timeline and History Slider — timeline-and-history-slider

• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category

• WP Blog and Widgets — wp-blog-and-widgets

• WP Featured Content and Slider — wp-featured-content-and-slider

• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider

• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider

• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel

• WP Team Showcase and Slider — wp-team-showcase-and-slider

• WP Testimonial with Widget — wp-testimonial-with-widget

• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget

所有相關(guān)插件已被永久下架。當(dāng)前在 WordPress.org 上搜索該作者名稱已無任何結(jié)果，插件頁面完全消失。與此同時(shí)，analytics.essentialplugin.com 接口也已失效，返回內(nèi)容僅為：{“message”:“closed”}。

類似的攻擊其實(shí)早已發(fā)生過

2017 年，一名使用化名 “Daley Tias” 的買家以 1.5 萬美元收購(gòu)了 Display Widgets 插件（約 20 萬次安裝），隨后在代碼中植入了網(wǎng)貸垃圾廣告。此后，該攻擊者又以相同手法陸續(xù)入侵了至少 9 個(gè)插件。

本次 Essential Plugin 事件，本質(zhì)上只是同一套攻擊劇本的放大版：超過 30 個(gè)插件、數(shù)十萬活躍安裝量，以及一個(gè)通過公開市場(chǎng)完成收購(gòu)、但在數(shù)月內(nèi)被武器化的八年歷史項(xiàng)目。

在實(shí)際處置中，相關(guān)環(huán)境中的插件已經(jīng)全部完成修復(fù)。WordPress.org 的強(qiáng)制更新雖然加入了 return; 語句，用于阻斷插件的“回連”功能，但本質(zhì)上只是臨時(shí)性修補(bǔ)措施，并未移除 wpos-analytics 模塊本體及其全部代碼邏輯。

因此，進(jìn)一步的處理方式是直接重構(gòu)插件版本，將整個(gè)后門模塊徹底剝離，并重新打包生成干凈版本。

在實(shí)際排查中，Austin Ginder 在 22 個(gè)客戶站點(diǎn)的 26 個(gè) Essential Plugin 插件中，確認(rèn)有 12 個(gè)被使用，其中 10 個(gè)已完成修復(fù)。其余部分要么本身不包含后門模塊，要么屬于原作者的“pro”分支版本。對(duì)應(yīng)的加固版本已統(tǒng)一托管至 B2 存儲(chǔ)，可用于持續(xù)分發(fā)與替換更新。

wp plugin install https://plugins.captaincore.io/post-grid-and-filter-ultimate-1.7.4-patched.zip --force

每個(gè)修復(fù)版本都會(huì)徹底移除 wpos-analytics 目錄，從主插件文件中刪除對(duì)應(yīng)的加載函數(shù)，并將版本號(hào)更新為 -patched 標(biāo)識(shí)。插件本身的功能在此過程中依然可以正常運(yùn)行。

通過 Claude Code 可以相對(duì)快速地完成修復(fù)流程。只需提供本文作為上下文，并指定需要處理的插件，它即可按相同方式移除 wpos-analytics 模塊，這一模式在 Essential Plugin 系列中基本完全一致。

具體處理步驟如下：

1. 從插件目錄中刪除 wpos-analytics/ 文件夾；

2. 在主插件 PHP 文件中移除加載函數(shù)代碼塊（可通過搜索 “Plugin Wpos Analytics Data Starts” 或 wpos_analytics_anl 定位）；

3. 將插件的 Version 頭信息更新，添加 -patched 標(biāo)識(shí)以區(qū)分修復(fù)版本；

4. 最后重新打包壓縮，并通過命令強(qiáng)制覆蓋安裝（wp plugin install your-plugin-patched.zip –force）。

完成插件層面的處理后，還需要重點(diǎn)檢查 wp-config.php 文件。

惡意代碼通常會(huì)追加在 require_once ABSPATH . wp-settings.php; 同一行末尾，因此很容易在快速瀏覽時(shí)被忽略。如果該文件體積明顯異常增大（注入內(nèi)容通常會(huì)增加約 6KB），基本可以判斷站點(diǎn)已經(jīng)遭到實(shí)際入侵，此時(shí)僅修復(fù)插件是不夠的，還需要進(jìn)行全站級(jí)別的徹底清理。

WordPress 插件生態(tài)的信任危機(jī)

短短兩周內(nèi)，連續(xù)兩起大規(guī)模插件供應(yīng)鏈攻擊接連爆發(fā)，手法如出一轍：收購(gòu)一款擁有穩(wěn)定用戶群的知名插件，獲取其在 WordPress.org 的提交權(quán)限，然后注入惡意代碼。

Essential Plugin 這筆收購(gòu)全程完全公開，買家的灰產(chǎn)從業(yè)背景清晰可查。然而，這筆收購(gòu)卻幾乎沒有經(jīng)過任何來自 WordPress.org 的審查就順利完成。

目前，WordPress.org 并沒有針對(duì)插件所有權(quán)轉(zhuǎn)移的標(biāo)記或?qū)徍藱C(jī)制：當(dāng)控制權(quán)發(fā)生變更時(shí)，用戶不會(huì)收到任何“所有權(quán)變更”的通知；開發(fā)者賬號(hào)更換后，也不會(huì)觸發(fā)額外的代碼審查流程。盡管插件團(tuán)隊(duì)在攻擊被發(fā)現(xiàn)后反應(yīng)迅速，但從后門植入到最終被察覺，中間已經(jīng)過去了整整 8 個(gè)月。

對(duì)于正在運(yùn)營(yíng) WordPress 站點(diǎn)的用戶而言，建議盡快對(duì)所有站點(diǎn)進(jìn)行排查，確認(rèn)是否使用了上述提到的 26 個(gè)插件。一旦發(fā)現(xiàn)，應(yīng)立即進(jìn)行修復(fù)或直接移除。同時(shí)，務(wù)必檢查核心配置文件 wp-config.php，確認(rèn)是否存在異常代碼。

來源：https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

【活動(dòng)分享】"48 小時(shí)，與 50+ 位大廠技術(shù)決策者，共探 AI 落地真路徑。"由 CSDN&奇點(diǎn)智能研究院聯(lián)合舉辦的「全球機(jī)器學(xué)習(xí)技術(shù)大會(huì)」正式升級(jí)為「奇點(diǎn)智能技術(shù)大會(huì)」。2026 奇點(diǎn)智能技術(shù)大會(huì)將于 4 月 17-18 日在上海環(huán)球港凱悅酒店正式召開，大會(huì)聚焦大模型技術(shù)演進(jìn)、智能體系統(tǒng)工程、OpenClaw 生態(tài)實(shí)踐及 AI 行業(yè)落地等十二大專題板塊，特邀來自BAT、京東、微軟、小紅書、美團(tuán)等頭部企業(yè)的 50+ 位技術(shù)決策者分享實(shí)戰(zhàn)案例。旨在幫助技術(shù)管理者與一線 AI 落地人員規(guī)避選型風(fēng)險(xiǎn)、降低試錯(cuò)成本、獲取可復(fù)用的工程方法論，真正實(shí)現(xiàn) AI 技術(shù)的規(guī)?；涞嘏c商業(yè)價(jià)值轉(zhuǎn)化。這不僅是一場(chǎng)技術(shù)的盛宴，更是決策者把握 2026 AI 拐點(diǎn)的戰(zhàn)略機(jī)會(huì)。