Cyberprzestępcy przejęli 31 popularnych wtyczek WordPress i ukryli w nich backdoor. Sprawdź, jak działał atak typu Supply Chain, które strony były zagrożone oraz jak zweryfikować bezpieczeństwo swojej instalacji WordPress.
[11 czerwca 2026] • root • PrywatnyInformatyk.pl
W kwietniu 2026 roku społeczność WordPressa została zaskoczona informacją o jednym z najpoważniejszych incydentów bezpieczeństwa ostatnich lat. Okazało się, że cyberprzestępca przejął kontrolę nad 31 popularnymi wtyczkami WordPress i przez wiele miesięcy przygotowywał atak na tysiące stron internetowych.
Sprawa jest szczególnie niepokojąca, ponieważ nie wykorzystano klasycznej podatności w kodzie. Atakujący przejął sam proces dystrybucji aktualizacji, zamieniając legalne wtyczki w narzędzie do infekowania stron internetowych.
Jak doszło do przejęcia wtyczek?
Według ustaleń badaczy bezpieczeństwa firma rozwijająca pakiet wtyczek Essential Plugin została sprzedana nowemu właścicielowi w 2025 roku. W kolejnych miesiącach do aktualizacji zaczęły trafiać pozornie niewinne zmiany, które w rzeczywistości zawierały ukryty mechanizm backdoor.
Najgroźniejsze było to, że złośliwy kod pozostawał uśpiony przez około osiem miesięcy. Dzięki temu przeszedł przez proces aktualizacji na tysiącach stron i nie wzbudził podejrzeń administratorów.
Dlaczego ten atak był wyjątkowo niebezpieczny?
Większość właścicieli stron ufa aktualizacjom pochodzącym z oficjalnego repozytorium WordPress. W tym przypadku problem nie polegał na znalezieniu błędu w oprogramowaniu, lecz na przejęciu kontroli nad samym produktem.
Atakujący wykorzystał reputację legalnych wtyczek i możliwość dostarczania aktualizacji do aktywnych instalacji WordPress.
To klasyczny przykład ataku na łańcuch dostaw (Supply Chain Attack), podobnego do incydentów, które w przeszłości dotknęły m.in. SolarWinds, 3CX czy XZ Utils.
Co robił złośliwy kod?
Badacze ustalili, że zainstalowany backdoor umożliwiał pobieranie dodatkowych poleceń z zewnętrznej infrastruktury kontrolowanej przez napastnika.
Po aktywacji złośliwe oprogramowanie mogło:
- tworzyć ukryte strony spamowe,
- podmieniać wyniki wyszukiwania Google,
- wykonywać przekierowania użytkowników,
- instalować dodatkowe komponenty malware,
- utrzymywać trwały dostęp do strony internetowej.
Szczególnie interesujący był sposób komunikacji z serwerem sterującym. Według analiz wykorzystywano mechanizmy utrudniające blokowanie infrastruktury przestępców, w tym elementy oparte o blockchain Ethereum.
Ile stron mogło zostać zagrożonych?
Według danych opublikowanych przez badaczy bezpieczeństwa przejęte wtyczki posiadały ponad 20 tysięcy aktywnych instalacji w oficjalnym repozytorium WordPress oraz ponad 15 tysięcy klientów korzystających z wersji komercyjnych.
Łącznie zagrożonych mogło być kilkadziesiąt tysięcy stron internetowych na całym świecie.
Jak zareagował WordPress?
Po potwierdzeniu incydentu zespół WordPress Plugin Review Team usunął wszystkie przejęte wtyczki z oficjalnego repozytorium.
Rozpoczęto również analizę zmian wprowadzonych przez nowego właściciela oraz działania mające ograniczyć ryzyko podobnych incydentów w przyszłości.
Problem zwrócił uwagę na fakt, że obecnie zmiana właściciela projektu WordPress nie powoduje automatycznego dodatkowego audytu bezpieczeństwa kodu.
Jak sprawdzić, czy Twoja strona jest bezpieczna?
Jeżeli korzystasz z WordPressa, warto:
- Sprawdzić listę zainstalowanych wtyczek.
- Zweryfikować, czy nie korzystasz z produktów Essential Plugin objętych incydentem.
- Przeanalizować logi serwera z okresu od września 2025 do kwietnia 2026.
- Przeskanować stronę pod kątem backdoorów i nietypowych plików PHP.
- Sprawdzić zawartość katalogów
mu-plugins,wp-contentoraz aktywnego motywu. - Zweryfikować, czy nie pojawiły się nieznane konta administratorów.
- Regularnie monitorować komunikaty bezpieczeństwa dotyczące używanych rozszerzeń.
Czego uczy nas ten incydent?
Przez lata administratorzy skupiali się głównie na aktualizowaniu WordPressa oraz usuwaniu podatności typu SQL Injection czy Remote Code Execution.
Incydent z 31 przejętymi wtyczkami pokazuje jednak, że coraz większym zagrożeniem stają się ataki na łańcuch dostaw oprogramowania. Nawet legalna aktualizacja pobrana z zaufanego źródła może okazać się nośnikiem złośliwego kodu, jeśli przejęta zostanie kontrola nad projektem.
Dla właścicieli stron internetowych oznacza to konieczność nie tylko aktualizowania oprogramowania, ale również śledzenia informacji o zmianach właścicieli projektów, incydentach bezpieczeństwa oraz komunikatach publikowanych przez społeczność WordPress.
Najważniejsze informacje
Przejęcie 31 wtyczek WordPress w 2026 roku jest jednym z największych znanych ataków typu Supply Chain Attack w historii tego CMS-a. Cyberprzestępca wykorzystał zaufanie użytkowników do legalnych aktualizacji, instalując ukryty backdoor w popularnych rozszerzeniach. Incydent pokazuje, że bezpieczeństwo strony internetowej zależy nie tylko od aktualizacji systemu, ale również od bezpieczeństwa dostawców oprogramowania.
Źródła
- https://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/
- https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/
- https://www.techradar.com/pro/security/wordpress-websites-under-attack-expert-report-says-dozens-of-plugins-hijacked-to-target-thousands-of-sites
- https://www.anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
- https://thenextweb.com/news/wordpress-plugins-backdoor-supply-chain-essential-plugin-flippa-2