ShapedPlugin padł ofiarą ataku Supply Chain. Oficjalne aktualizacje popularnych wtyczek WordPress zawierały backdoora umożliwiającego przejęcie stron internetowych. Sprawdź, czy Twoja witryna jest bezpieczna.
16.06.2026 • root • PrywatnyInformatyk.pl
Kolejny poważny incydent bezpieczeństwa w ekosystemie WordPressa. Według Wordfence, wybrane płatne wtyczki firmy ShapedPlugin były dystrybuowane ze złośliwym kodem przez oficjalny kanał aktualizacji producenta.
Aktualizacja z oficjalnego źródła też może być zagrożeniem
Administratorzy stron internetowych zwykle słyszą prostą zasadę: regularnie aktualizuj WordPressa, motywy i wtyczki. W większości przypadków jest to dobra praktyka, ale ten incydent pokazuje, że samo źródło aktualizacji również może zostać skompromitowane.
Wordfence poinformował, że 11 czerwca 2026 roku otrzymał zgłoszenie dotyczące możliwej kompromitacji dostawcy wtyczek WordPress — firmy ShapedPlugin. Badacze potwierdzili, że zainfekowana kopia Real Testimonials Pro 3.2.5 była dostępna bezpośrednio z oficjalnego endpointu aktualizacji producenta 12 czerwca 2026 roku.
Czym jest atak Supply Chain?
Atak Supply Chain, czyli atak na łańcuch dostaw, polega na tym, że przestępca nie atakuje bezpośrednio każdej strony internetowej osobno. Zamiast tego przejmuje element procesu dostarczania oprogramowania: konto producenta, repozytorium, serwer aktualizacji albo sam pakiet instalacyjny.
W praktyce oznacza to, że administrator może zainstalować złośliwe oprogramowanie, wykonując zwykłą aktualizację z pozornie zaufanego źródła.
Jakie wtyczki są powiązane z incydentem?
Według Wordfence oraz WPScan problem dotyczy wielu płatnych wtyczek ShapedPlugin. Wśród wymienianych produktów pojawiają się między innymi:
- Real Testimonials Pro,
- Product Slider for WooCommerce Pro,
- Smart Post Show Pro.
Wordfence wskazuje również, że podobny backdoor w Product Slider Pro for WooCommerce został oznaczony jako CVE-2026-49777, natomiast w bazie Wordfence widoczny jest wpis dotyczący wielu wtyczek ShapedPlugin jako CVE-2026-10735 z oceną krytyczną.
Co robił złośliwy kod?
W zainfekowanym pakiecie odnaleziono dodatkowy plik:
src/Includes/LicenseLoader.phpWedług analizy Wordfence plik ten działał jako loader, czyli pierwszy etap infekcji. Jego zadaniem było uruchomienie dalszego procesu, który mógł pobierać kolejne komponenty z infrastruktury kontrolowanej przez atakujących.
WPScan opisuje ten incydent jako dystrybucję złośliwego kodu przez skompromitowany serwer aktualizacji producenta. Skutkiem mogło być pobranie drugiego etapu malware, wykradanie danych uwierzytelniających oraz uzyskanie pełnej kontroli nad zainfekowaną stroną.
Dlaczego to jest tak groźne?
Ten przypadek jest szczególnie niebezpieczny, ponieważ użytkownik nie musiał pobierać pirackiej wersji wtyczki, instalować dodatku z nieznanego źródła ani ignorować aktualizacji.
Do infekcji mogło dojść przez standardowy mechanizm aktualizacji. Innymi słowy: administrator robił coś, co zwykle uznajemy za dobrą praktykę bezpieczeństwa.
To pokazuje, że w przypadku stron produkcyjnych sama automatyczna aktualizacja nie wystarczy. Potrzebne są również kopie zapasowe, monitoring plików, analiza logów i ostrożność przy aktualizowaniu krytycznych komponentów.
Co powinien zrobić administrator WordPressa?
Jeżeli na stronie używane są płatne wtyczki ShapedPlugin, należy potraktować sprawę poważnie.
- Sprawdź, czy na stronie są zainstalowane produkty ShapedPlugin.
- Zweryfikuj wersje wtyczek oraz historię aktualizacji z czerwca 2026 roku.
- Sprawdź, czy w katalogach wtyczek występuje plik
LicenseLoader.phplub inne nietypowe pliki PHP. - Przeskanuj stronę narzędziami bezpieczeństwa, ale nie traktuj samego skanu jako pełnej gwarancji czystości.
- Sprawdź konta administratorów WordPressa.
- Zweryfikuj zadania cron WordPressa i systemowe.
- Przeanalizuj logi serwera WWW, PHP oraz logi logowania do panelu.
- Zmień hasła administratorów, FTP/SFTP, SSH, bazy danych i klucze API, jeżeli istnieje podejrzenie infekcji.
- Porównaj pliki wtyczki z czystą wersją od producenta.
- W razie podejrzenia kompromitacji przywróć stronę z czystej kopii zapasowej sprzed infekcji.
To nie jest odosobniony przypadek
Rok 2026 jest wyjątkowo trudny dla bezpieczeństwa WordPressa. Wcześniej opisywano między innymi przejęcie ponad 30 wtyczek WordPress zakupionych przez atakującego oraz incydent Smart Slider 3 Pro, gdzie złośliwa wersja została również dostarczona przez oficjalny kanał aktualizacji.
Oznacza to, że ataki Supply Chain stają się realnym problemem nie tylko dla dużych firm technologicznych, ale również dla zwykłych stron firmowych, sklepów WooCommerce i serwisów opartych na WordPressie.
Co warto zapamiętać?
Incydent ShapedPlugin pokazuje, że bezpieczeństwo WordPressa nie kończy się na kliknięciu „aktualizuj”. Aktualizacje nadal są konieczne, ale powinny być elementem szerszego procesu bezpieczeństwa.
Dla ważnych stron warto stosować środowisko testowe, regularne kopie zapasowe, monitoring integralności plików oraz stałą analizę logów. W przypadku podejrzenia infekcji nie wystarczy wyłączyć wtyczki — trzeba sprawdzić, czy atakujący nie zostawił dodatkowego dostępu do strony lub serwera.