W kwietniu 2026 roku społeczność WordPressa stała się ofiarą jednego z najbardziej wyrafinowanych ataków na łańcuch dostaw (supply chain attack). Incydent objął portfolio 31 wtyczek firmy „Essential Plugin” (dawniej WP Online Support), infekując setki tysięcy stron internetowych. Co wyróżnia ten atak spośród innych — sprawca nie złamał żadnego zabezpieczenia. Po prostu kupił zaufanie.

Strategia: zakup zamiast włamania

W przeciwieństwie do klasycznych ataków hakerskich, napastnik nie musiał łamać zabezpieczeń serwerów. Sprawca o pseudonimie „Kris”, związany z branżą SEO, kryptowalut i marketingu dla branży hazardowej, zakupił na platformie Flippa całe portfolio wtyczek za sześciocyfrową kwotę. Dzięki tej transakcji automatycznie przejął uprawnienia deweloperskie (dostęp SVN) w oficjalnym repozytorium WordPress.org, co pozwoliło mu na dystrybucję złośliwego kodu jako zaufanych aktualizacji — bez żadnej dodatkowej weryfikacji.

Atak charakteryzował się niespotykaną cierpliwością:

  • Iniekcja (8 sierpnia 2025): Wydano wersję 2.6.7, która pod pozorem „poprawy kompatybilności z WordPress 6.8.2” wstrzyknęła backdoora do kodu wtyczek.
  • Uśpienie (8 miesięcy): Złośliwy kod pozostawał nieaktywny, co uśpiło czujność skanerów bezpieczeństwa i pozwoliło na zainfekowanie ogromnej liczby witryn przez oficjalne kanały aktualizacji.
  • Aktywacja (5–6 kwietnia 2026): Pełne uzbrojenie backdoora nastąpiło, gdy serwer analytics.essentialplugin.com zaczął przesyłać instrukcje do zainfekowanych stron.

Technologia: blockchain C2 i cloaking SEO

Mechanizm ataku opierał się na module wpos-analytics, wykorzystującym podatność na deserializację PHP (CWE-502). Funkcja unserialize() przyjmowała dane pobrane zdalnie przez file_get_contents(), co pozwalało napastnikowi na zdalne wykonanie dowolnego kodu (RCE) na serwerze ofiary.

Prawdziwą innowacją była infrastruktura Command-and-Control (C2). Backdoor odpytywał publiczne punkty końcowe RPC blockchaina Ethereum, aby dynamicznie ustalać adresy serwerów sterujących za pomocą smart kontraktów. Dzięki zdecentralizowanej naturze blockchaina infrastruktura była odporna na standardowe próby zablokowania domen przez organy bezpieczeństwa.

Głównym celem ataku był spam SEO i tzw. cloaking — zainfekowane strony wyświetlały złośliwe linki i przekierowania wyłącznie robotom Google (Googlebot), pozostając całkowicie niewidocznymi dla właścicieli i zwykłych odwiedzających. Efektem było stopniowe niszczenie pozycji w wyszukiwarkach bez żadnych widocznych objawów po stronie administratora.

Detekcja i naprawa witryny

7 kwietnia 2026 roku WordPress.org trwale zamknął wszystkie 31 wtyczek dewelopera. Wydana wymuszona aktualizacja (v2.6.9.1) jedynie wyłączyła mechanizmy komunikacji wtyczki, ale nie usunęła trwałej iniekcji w plikach systemowych. Właściciele witryn muszą przeprowadzić ręczny audyt.

Jak sprawdzić infekcję?

  1. Audyt wp-config.php: Czysty plik ma zwykle 3–4 KB. Zainfekowany puchnie do około 9–10 KB wskutek wstrzykniętego bloku 6 KB kodu PHP. To najprostszy wskaźnik infekcji.
  2. Plik wp-comments-posts.php: Poszukaj pliku o tej nazwie (z literą „s” na końcu — nie mylić z prawdziwym wp-comments-post.php) w katalogu głównym witryny. To narzędzie napastnika podszywające się pod pliki systemowe WordPress.
  3. Luki w REST API: Atak tworzył nieautoryzowany punkt końcowy z parametrem permission_callback => __return_true, umożliwiający pełny dostęp bez logowania. Przejrzyj zarejestrowane endpointy REST API swojej witryny.

Luka w zarządzaniu WordPress.org

Incydent obnażył poważną lukę w ekosystemie WordPress. Platforma WordPress.org nie posiada mechanizmu weryfikacji nowych właścicieli przy transferze wtyczek — ani powiadamiania użytkowników o zmianie dewelopera. Sprawca legalnie zakupił zaufanie wypracowane przez lata przez poprzednich autorów i zamienił je w wektor ataku.

To nie jest problem jednej wtyczki — to systemowe ryzyko dla każdej popularnej wtyczki, której deweloper może zdecydować się ją sprzedać. Tymczasem podstawowe praktyki jak zabezpieczenie WordPressa, ukrycie wersji CMS czy właściwa konfiguracja nagłówków HTTP pozostają pierwszą linią obrony, na którą większość właścicieli stron wciąż nie zwraca uwagi — podobnie jak regularne monitorowanie anomalii SEO i cloakingu skierowanego wyłącznie do Googlebota za pomocą narzędzi takich jak UPER SEO Auditor.

Podsumowanie

Atak na portfolio Essential Plugin to podręcznikowy przykład ataku na łańcuch dostaw nowej generacji: bez włamania, bez zero-daya, z wykorzystaniem zaufania jako broni. Połączenie cierpliwości (8 miesięcy uśpienia), zdecentralizowanej infrastruktury (blockchain C2) i precyzyjnego cloakingu sprawia, że tego typu ataki są wyjątkowo trudne do wykrycia w standardowych procesach monitorowania.

Jeśli korzystasz z jakiejkolwiek wtyczki z portfolio Essential Plugin lub WP Online Support, natychmiast przeprowadź audyt swojej witryny według powyższej listy. W przypadku znalezienia infekcji — przywróć czystą kopię zapasową WordPressa sprzed 8 sierpnia 2025 roku.

Źródła

  1. WordPress Plugin Backdoor: 30+ Plugins Supply Chain Attack — ByteIota https://byteiota.com/wordpress-plugin-backdoor-30-plugins-supply-chain-attack/

  2. Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them — Anchor.host https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

  3. WordPress Plugin Hack 2026: 30+ Plugins Infected with Backdoor — TechnoCrackers https://technocrackers.com/wordpress-plugin-hack-2026-30-plugins-infected-with-backdoor-malware/