--- title: "Zaufanie na sprzedaż: backdoor w 31 wtyczkach WordPress ukryty przez 8 miesięcy" description: "W 2026 roku haker kupił 31 wtyczek WordPress na Flippa i wszczepił backdoora. Jak działał atak na łańcuch dostaw i jak sprawdzić, czy Twoja strona jest zainfekowana?" date: 2026-04-14 category: Bezpieczeństwo tags: ["WordPress", "Bezpieczeństwo", "Supply Chain", "Malware", "SEO"] url: https://uper.pl/blog/atak-lancuch-dostaw-wtyczki-wordpress-2026/ --- # Zaufanie na sprzedaż: backdoor w 31 wtyczkach WordPress ukryty przez 8 miesięcy W kwietniu 2026 roku społeczność WordPressa stała się ofiarą jednego z najbardziej wyrafinowanych ataków na **łańcuch dostaw** (supply chain attack). Incydent objął portfolio 31 wtyczek firmy „Essential Plugin" (dawniej WP Online Support), infekując setki tysięcy stron internetowych. Co wyróżnia ten atak spośród innych — sprawca nie złamał żadnego zabezpieczenia. Po prostu kupił zaufanie. ## Strategia: zakup zamiast włamania W przeciwieństwie do klasycznych ataków hakerskich, napastnik nie musiał łamać zabezpieczeń serwerów. Sprawca o pseudonimie **„Kris"**, związany z branżą SEO, kryptowalut i marketingu dla branży hazardowej, zakupił na platformie Flippa całe portfolio wtyczek za sześciocyfrową kwotę. Dzięki tej transakcji automatycznie przejął uprawnienia deweloperskie (dostęp SVN) w oficjalnym repozytorium WordPress.org, co pozwoliło mu na dystrybucję złośliwego kodu jako zaufanych aktualizacji — bez żadnej dodatkowej weryfikacji. Atak charakteryzował się niespotykaną cierpliwością: - **Iniekcja (8 sierpnia 2025):** Wydano wersję 2.6.7, która pod pozorem „poprawy kompatybilności z WordPress 6.8.2" wstrzyknęła backdoora do kodu wtyczek. - **Uśpienie (8 miesięcy):** Złośliwy kod pozostawał nieaktywny, co uśpiło czujność skanerów bezpieczeństwa i pozwoliło na zainfekowanie ogromnej liczby witryn przez oficjalne kanały aktualizacji. - **Aktywacja (5–6 kwietnia 2026):** Pełne uzbrojenie backdoora nastąpiło, gdy serwer `analytics.essentialplugin.com` zaczął przesyłać instrukcje do zainfekowanych stron. ## Technologia: blockchain C2 i cloaking SEO Mechanizm ataku opierał się na module `wpos-analytics`, wykorzystującym podatność na **deserializację PHP** (CWE-502). Funkcja `unserialize()` przyjmowała dane pobrane zdalnie przez `file_get_contents()`, co pozwalało napastnikowi na zdalne wykonanie dowolnego kodu (RCE) na serwerze ofiary. Prawdziwą innowacją była infrastruktura **Command-and-Control (C2)**. Backdoor odpytywał publiczne punkty końcowe RPC **blockchaina Ethereum**, aby dynamicznie ustalać adresy serwerów sterujących za pomocą smart kontraktów. Dzięki zdecentralizowanej naturze blockchaina infrastruktura była odporna na standardowe próby zablokowania domen przez organy bezpieczeństwa. Głównym celem ataku był **spam SEO** i tzw. **cloaking** — zainfekowane strony wyświetlały złośliwe linki i przekierowania wyłącznie robotom Google (Googlebot), pozostając całkowicie niewidocznymi dla właścicieli i zwykłych odwiedzających. Efektem było stopniowe niszczenie pozycji w wyszukiwarkach bez żadnych widocznych objawów po stronie administratora. ## Detekcja i naprawa witryny 7 kwietnia 2026 roku WordPress.org trwale zamknął wszystkie 31 wtyczek dewelopera. Wydana wymuszona aktualizacja (v2.6.9.1) jedynie wyłączyła mechanizmy komunikacji wtyczki, ale **nie usunęła** trwałej iniekcji w plikach systemowych. Właściciele witryn muszą przeprowadzić ręczny audyt. ### Jak sprawdzić infekcję? 1. **Audyt `wp-config.php`:** Czysty plik ma zwykle 3–4 KB. Zainfekowany puchnie do około 9–10 KB wskutek wstrzykniętego bloku 6 KB kodu PHP. To najprostszy wskaźnik infekcji. 2. **Plik `wp-comments-posts.php`:** Poszukaj pliku o tej nazwie (z literą „s" na końcu — nie mylić z prawdziwym `wp-comments-post.php`) w katalogu głównym witryny. To narzędzie napastnika podszywające się pod pliki systemowe WordPress. 3. **Luki w REST API:** Atak tworzył nieautoryzowany punkt końcowy z parametrem `permission_callback => __return_true`, umożliwiający pełny dostęp bez logowania. Przejrzyj zarejestrowane endpointy REST API swojej witryny. ## Luka w zarządzaniu WordPress.org Incydent obnażył poważną lukę w ekosystemie WordPress. Platforma WordPress.org **nie posiada mechanizmu weryfikacji** nowych właścicieli przy transferze wtyczek — ani powiadamiania użytkowników o zmianie dewelopera. Sprawca legalnie zakupił zaufanie wypracowane przez lata przez poprzednich autorów i zamienił je w wektor ataku. To nie jest problem jednej wtyczki — to systemowe ryzyko dla każdej popularnej wtyczki, której deweloper może zdecydować się ją sprzedać. Tymczasem podstawowe praktyki jak [zabezpieczenie WordPressa](/blog/jak-zabezpieczyc-wordpress/), [ukrycie wersji CMS](/blog/jak-ukryc-wersje-wordpress/) czy [właściwa konfiguracja nagłówków HTTP](/blog/naglowki-bezpieczenstwa-http/) pozostają pierwszą linią obrony, na którą większość właścicieli stron wciąż nie zwraca uwagi — podobnie jak regularne monitorowanie anomalii SEO i cloakingu skierowanego wyłącznie do Googlebota za pomocą narzędzi takich jak [UPER SEO Auditor](https://spoko.space/pl/uper-seo-auditor/). ## Podsumowanie Atak na portfolio Essential Plugin to podręcznikowy przykład ataku na łańcuch dostaw nowej generacji: bez włamania, bez zero-daya, z wykorzystaniem zaufania jako broni. Połączenie cierpliwości (8 miesięcy uśpienia), zdecentralizowanej infrastruktury (blockchain C2) i precyzyjnego cloakingu sprawia, że tego typu ataki są wyjątkowo trudne do wykrycia w standardowych procesach monitorowania. Jeśli korzystasz z jakiejkolwiek wtyczki z portfolio Essential Plugin lub WP Online Support, natychmiast przeprowadź audyt swojej witryny według powyższej listy. W przypadku znalezienia infekcji — przywróć czystą [kopię zapasową WordPressa](/blog/kopie-zapasowe-wordpressa/) sprzed 8 sierpnia 2025 roku. ## Źródła 1. **WordPress Plugin Backdoor: 30+ Plugins Supply Chain Attack — ByteIota** [https://byteiota.com/wordpress-plugin-backdoor-30-plugins-supply-chain-attack/](https://byteiota.com/wordpress-plugin-backdoor-30-plugins-supply-chain-attack/) 2. **Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them — Anchor.host** [https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/](https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/) 3. **WordPress Plugin Hack 2026: 30+ Plugins Infected with Backdoor — TechnoCrackers** [https://technocrackers.com/wordpress-plugin-hack-2026-30-plugins-infected-with-backdoor-malware/](https://technocrackers.com/wordpress-plugin-hack-2026-30-plugins-infected-with-backdoor-malware/)