近日,开源网页博客平台WordPress遭遇重大安全危机,其官方插件库中数十款热门插件被紧急下架。经调查发现,这些插件在易主后被植入隐蔽后门程序,攻击者可通过该漏洞向所有使用相关插件的网站批量注入恶意代码,引发全球用户对开源软件供应链安全的广泛担忧。
网络托管服务商Anchor Hosting创始人奥斯汀·金德在技术博客中披露,此次攻击源于Essential Plugin开发商的股权变更。去年被新资本收购后,该开发商旗下插件源代码被植入休眠式后门程序,该漏洞在长达数月时间内未被激活,直至本月突然启动恶意代码分发机制。据WordPress官方数据,受影响插件累计安装量超过2万次,而Essential Plugin官网显示其服务客户数达1.5万,插件总下载量突破40万次。
安全专家指出,WordPress插件生态系统存在结构性风险。作为全球最流行的网站建设框架,其插件市场允许开发者直接获取网站管理权限,这种设计虽极大扩展了平台功能,却也为恶意代码植入提供了便利通道。更严峻的是,用户无法通过官方渠道获知插件所有权变更信息,导致新所有者可能通过代码篡改实施定向攻击。
此次事件并非孤立案例。金德特别强调,这已是近两周内第二起WordPress插件供应链攻击事件。安全研究机构长期警告,通过收购合法软件实施代码篡改已成为黑客组织的重要战术,此类攻击可绕过传统安全检测机制,对全球数百万台设备构成威胁。目前被下架插件已标注永久停用,但技术社区担忧仍有部分网站未及时更新安全补丁。
