详细内容或原文请订阅后点击阅览
WordPress 插件供应链攻击:您错过了什么
有人购买了 30 个 WordPress 插件并植入了后门。以下是有关真实威胁模型的报道错误的地方。WordPress 插件供应链攻击:您缺少的内容首先出现在 1redDrop 上。
来源:1redDrop有人购买了包含 30 多个 WordPress 插件的组合,等了八个月,然后打开了开关。 2026 年 4 月出现的 WordPress 插件供应链攻击被作为恶意软件事件进行报道。事实并非如此,真的。这是一个信任架构的故事——这种区别对于你如何应对它非常重要。
实际发生了什么
Anchor Hosting 创始人 Austin Ginder 在一篇博客文章中敲响了警钟,描述了针对 WordPress 插件制造商 Essential Plugin 的供应链攻击。有人购买了 Essential Plugin,后门很快就被添加到插件的源代码中。该后门一直处于休眠状态,直到本月初它才激活并开始向任何安装了插件的网站分发恶意代码。 TechCrunch
Essential Plugin 在其网站上表示,它拥有超过 400,000 个插件安装和超过 15,000 个客户。 TechCrunch 这些插件最终从 WordPress.org 存储库中删除,但损坏窗口(这八个月的休眠期)是最值得仔细审查的部分。
根据 Anchor Hosting 的调查,对于大多数受害者来说,有效负载甚至并不明显,因为 SEO 垃圾邮件仅出现在 Googlebot 上。网站所有者可以浏览他们的页面,并认为一切看起来都很正常,而搜索引擎却得到了完全不同的东西。蓝色标题
头条新闻不断掩盖的部分
大多数报道将其描述为“插件中的恶意软件”。这在技术上是准确的,但在战略上却毫无用处。真实的故事来自 Anchor Hosting 的文章:“买家的第一个 SVN 提交就是后门。”
这不是意外或懒惰插入。这是一个经过深思熟虑的操作选择。攻击者的计划要求恶意代码在任何人看到之前到达。它之所以有效,是因为 WordPress 插件生态系统没有所有权透明层。 WordPress 用户不会收到任何插件所有权变更的通知,从而使用户面临新所有者潜在的接管攻击。 TechCrunch