У десятках плагінів для WordPress знайшли бекдори. Які в цьому можуть бути ризики?

У десятках плагінів для WordPress виявили бекдори, які використовувалися для поширення шкідливого коду на сайти. 

Про це повідомляє TechCrunch.

Проблемні плагіни вже видалили з каталогу платформи, однак вони могли залишитися встановленими на тисячах ресурсів.

Про атаку повідомив засновник Anchor Hosting Остін Гіндер. За його словами, йдеться про так звану supply chain-атаку — коли зловмисники втручаються в ланцюг постачання програмного забезпечення.

Ще минулого року невідома компанія придбала розробника плагінів Essential Plugin. Після цього в код продуктів додали бекдор — прихований механізм доступу. Він тривалий час залишався неактивним і запустився лише на початку квітня 2026 року. 

Після активації бекдор почав розповсюджувати шкідливий код на всі сайти, де були встановлені ці плагіни.

За даними самої Essential Plugin, її продукти мали понад 400 тисяч встановлень і понад 15 тисяч клієнтів. Водночас сторінки WordPress свідчать, що уражені плагіни використовувалися щонайменше на 20 тисячах активних сайтів.

Плагіни у WordPress мають доступ до системи сайту, тому можуть змінювати його функціональність — і водночас відкривати доступ для атак.

Гіндер звертає увагу, що користувачі WordPress не отримують повідомлень про зміну власника плагіна. Це створює ризик: новий власник може змінити код і використати його для атак.

Читайте також: Хакери, які зламують WordPress-сайти, використовують легальні рекламні платформи для своїх атак