В десятках плагинов WordPress обнаружены бэкдоры, затронувшие сотни тысяч сайтов

В апреле 2025-го сотни тысяч сайтов на WordPress оказались скомпрометированы через обновление плагинов.

Исследователь Austin Ginder раскопал классическую supply chain attack — но с одним нестандартным элементом:
адрес командного сервера хранился в смарт-контракте Ethereum.

Разберём, что тут действительно интересно с технической точки зрения, а что — просто грамотная упаковка старых приёмов.

Что произошло — хронология

В начале 2025 года анонимный покупатель на Flippa приобрёл компанию Essential Plugin — разработчика популярных WordPress-расширений.

По данным Ginder Security, суммарная установочная база превышала 200 000 сайтов.

Спустя несколько месяцев в обновление были внедрены изменения:

• добавлен файл wp-comments-posts.php (мимикрия под стандартный wp-comments-post.php)

• модифицирован wp-config.php — добавлена загрузка внешнего payload

Бэкдор не активировался сразу.
Он находился в спящем режиме, а затем был запущен спустя несколько месяцев.

📌 Это важный момент: атака была рассчитана на доверие и время, а не на мгновенный эффект.

Почему Ethereum — это не «блокчейн ради хайпа»

Обычно инфраструктура C2 (command & control) строится на:

• доменах

• IP-адресах

➡️ Их можно заблокировать — и атака теряет управление.

Здесь подход другой:
бэкдор запрашивает адрес C2 из блокчейна Ethereum.

Что это даёт атакующему

• Неубиваемость Нельзя «отключить» Ethereum или удалить контракт

• Мгновенная ротация Новый C2 публикуется через транзакцию

• Анонимность Данные публичны, но владелец кошелька — нет

💡 Важно: это не новая техника.

Подобные схемы фиксировались ещё в 2018 году (например, в исследованиях Akamai),
но их использование в массовых supply chain атаках — редкость.

Три грабли, которые сделали атаку успешной

1. Рынок плагинов — это дикий запад

WordPress не верифицирует смену владельца плагина.

Купил проект → получил:

• доступ к репозиторию

• доступ к обновлениям

• доверие пользователей

Без дополнительных проверок.

📊 По данным WPScan:
в 2024 году было более 1500 уязвимостей в плагинах.

Но здесь уязвимости не нужны.
Ты сам становишься разработчиком.

2. Автообновления включены по умолчанию

Большинство сайтов обновляют плагины автоматически.

Что это означает на практике:

• никто не смотрит diff

• никто не читает код

• никто не проверяет изменения

Бэкдор приезжает вместе с «фиксами безопасности».

3. Мимикрия под системные файлы

wp-comments-post.phpwp-comments-posts.php

Разница — одна буква.

И этого достаточно.

Это не уязвимость системы.
Это social engineering на уровне файловой структуры.

Что реально можно сделать

Для владельцев сайтов

• Отключить автообновления плагинов

• Проверять changelog перед обновлением

• Мониторить файловую систему (OSSEC, Tripwire)

• Использовать WAF с анализом исходящих запросов

Для разработчиков плагинов

• Подписывать релизы (GPG)

• Публиковать хэши сборок

• Включить 2FA

• Ввести обязательный code review

Для WordPress как платформы

• Верификация смены владельца плагина

• Флаги «подозрительных обновлений» (смена автора, нетипичные файлы, резкие изменения структуры)

Если честно

Атака выглядит сложной, но по сути:

• supply chain через покупку — известный вектор

• Ethereum как C2 — не новая идея

• спящий режим — вопрос дисциплины

👉 Это не прорыв. Это комбинация рабочих техник.

Главный вывод

Проблема не в блокчейне.
И не в конкретной уязвимости.

Проблема — в экосистеме WordPress:

• полное доверие к обновлениям

• отсутствие контроля ownership

• слабая прозрачность изменений

Вопрос к сообществу

Кто сталкивался с аудитом WordPress-плагинов при покупке бизнеса?

Есть ли вообще практика:

• code audit перед M&A

• проверка supply chain рисков

• анализ истории изменений

Или всё до сих пор держится на доверии?