IT之家 4 月 15 日消息，据 Techcrunch 报道，热门开源网页博客软件 WordPress 的数十款插件现已下线，原因是这些插件中被发现存在后门程序，该后门可向所有使用这些插件的网站推送恶意代码。这一后门是在这些插件被新的企业方收购后被发现的。

IT之家注意到，网络托管服务商 Anchor Hosting 创始人奥斯汀 · 金德（Austin Ginder）上周在一篇博文中发出警告，称针对 WordPress 插件开发商 Essential Plugin 发生了一起供应链攻击。金德表示，去年有人收购了 Essential Plugin，此后不久，插件源代码中就被植入了后门。该后门在此前一直处于休眠状态，直到本月早些时候被激活，并开始向所有安装了相关插件的网站分发恶意代码。

Essential Plugin 在其官网称，旗下插件安装量超过 40 万次，拥有超过 1.5 万名客户。而 WordPress 插件安装页面显示，受影响的插件正被用于超过 2 万个活跃的 WordPress 站点。

插件能让基于 WordPress 的网站站长扩展网站功能，但这也意味着插件会获得网站的访问权限，可能使这些网站面临恶意扩展程序的威胁，甚至被入侵。但金德警告称，WordPress 用户并不会收到插件所有权变更的通知，这使得用户可能面临被新插件所有者接管攻击的风险。

据金德介绍，这是短短两周内发现的第二起 WordPress 插件遭劫持事件。安全研究人员长期以来一直警告：恶意行为者通过收购软件并篡改代码，进而入侵全球大量计算机，这类风险一直存在。

尽管相关插件已从 WordPress 官方插件库下架，并标注为永久下线，金德仍提醒 WordPress 站长检查自己是否仍安装了这些恶意插件，并立即删除。金德在博文中列出了受影响插件的完整清单。

参考资料：

• //anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。