В десятках плагинов WordPress обнаружены бэкдоры, затронувшие сотни тысяч сайтов
В апреле 2025-го сотни тысяч сайтов на WordPress оказались скомпрометированы через обновление плагинов.
Исследователь Austin Ginder раскопал классическую supply chain attack — но с одним нестандартным элементом:
адрес командного сервера хранился в смарт-контракте Ethereum.
Разберём, что тут действительно интересно с технической точки зрения, а что — просто грамотная упаковка старых приёмов.
Что произошло — хронология
В начале 2025 года анонимный покупатель на Flippa приобрёл компанию Essential Plugin — разработчика популярных WordPress-расширений.
По данным Ginder Security, суммарная установочная база превышала 200 000 сайтов.
Спустя несколько месяцев в обновление были внедрены изменения:
добавлен файл
wp-comments-posts.php(мимикрия под стандартныйwp-comments-post.php)модифицирован
wp-config.php— добавлена загрузка внешнего payload
Бэкдор не активировался сразу.
Он находился в спящем режиме, а затем был запущен спустя несколько месяцев.
📌 Это важный момент: атака была рассчитана на доверие и время, а не на мгновенный эффект.
Почему Ethereum — это не «блокчейн ради хайпа»
Обычно инфраструктура C2 (command & control) строится на:
доменах
IP-адресах
➡️ Их можно заблокировать — и атака теряет управление.
Здесь подход другой:
бэкдор запрашивает адрес C2 из блокчейна Ethereum.
Что это даёт атакующему
Неубиваемость Нельзя «отключить» Ethereum или удалить контракт
Мгновенная ротация Новый C2 публикуется через транзакцию
Анонимность Данные публичны, но владелец кошелька — нет
💡 Важно: это не новая техника.
Подобные схемы фиксировались ещё в 2018 году (например, в исследованиях Akamai),
но их использование в массовых supply chain атаках — редкость.
Три грабли, которые сделали атаку успешной
1. Рынок плагинов — это дикий запад
WordPress не верифицирует смену владельца плагина.
Купил проект → получил:
доступ к репозиторию
доступ к обновлениям
доверие пользователей
Без дополнительных проверок.
📊 По данным WPScan:
в 2024 году было более 1500 уязвимостей в плагинах.
Но здесь уязвимости не нужны.
Ты сам становишься разработчиком.
2. Автообновления включены по умолчанию
Большинство сайтов обновляют плагины автоматически.
Что это означает на практике:
никто не смотрит diff
никто не читает код
никто не проверяет изменения
Бэкдор приезжает вместе с «фиксами безопасности».
3. Мимикрия под системные файлы
wp-comments-post.phpwp-comments-posts.php
Разница — одна буква.
И этого достаточно.
Это не уязвимость системы.
Это social engineering на уровне файловой структуры.
Что реально можно сделать
Для владельцев сайтов
Отключить автообновления плагинов
Проверять changelog перед обновлением
Мониторить файловую систему (OSSEC, Tripwire)
Использовать WAF с анализом исходящих запросов
Для разработчиков плагинов
Подписывать релизы (GPG)
Публиковать хэши сборок
Включить 2FA
Ввести обязательный code review
Для WordPress как платформы
Верификация смены владельца плагина
Флаги «подозрительных обновлений» (смена автора, нетипичные файлы, резкие изменения структуры)
Если честно
Атака выглядит сложной, но по сути:
supply chain через покупку — известный вектор
Ethereum как C2 — не новая идея
спящий режим — вопрос дисциплины
👉 Это не прорыв. Это комбинация рабочих техник.
Главный вывод
Проблема не в блокчейне.
И не в конкретной уязвимости.
Проблема — в экосистеме WordPress:
полное доверие к обновлениям
отсутствие контроля ownership
слабая прозрачность изменений
Вопрос к сообществу
Кто сталкивался с аудитом WordPress-плагинов при покупке бизнеса?
Есть ли вообще практика:
code audit перед M&A
проверка supply chain рисков
анализ истории изменений
Или всё до сих пор держится на доверии?
