Переглядаючи цей сайт, ви погоджуєтесь з нашою політикою конфіденційності
Прийняти
  • Про нас
  • Політика конфіденційності
  • Контакти
CyberCalm
  • Кібербезпека
    КібербезпекаПоказати ще
    Атака GhostCommit: як прихований в зображенні промпт змушує ШІ-асистента зливати секрети
    Атака GhostCommit: як прихований в зображенні промпт змушує ШІ-асистента зливати секрети
    16 години тому
    Шахраї телефонують користувачам Microsoft 365, аби «допомогти» зареєструвати ключ доступу Entra
    Шахраї телефонують користувачам Microsoft 365, аби «допомогти» зареєструвати ключ доступу Entra
    4 дні тому
    Joker: як працює один із найживучіших Android-троянів і як від нього захиститися
    Joker: як працює один із найживучіших Android-троянів і як від нього захиститися
    5 днів тому
    «Перша» кібератака-вимагач під керуванням ШІ все одно потребувала людини
    «Перша» кібератака-вимагач під керуванням ШІ все одно потребувала людини
    6 днів тому
    Вірус-вимагач: як працює здирницьке ПЗ і як захистити свої дані
    Вірус-вимагач: як працює здирницьке ПЗ і як захистити свої дані
    2 тижні тому
  • Гайди та поради
    Гайди та поради
    Корисні поради, які допоможуть вам почуватися безпечно в мережі, а також маленькі хитрощі у користуванні вашими гаджетами.
    Показати ще
    Топ-новини
    Як перенести Telegram на інший телефон
    Як перенести Telegram на інший телефон. ІНСТРУКЦІЯ
    1 рік тому
    Як розблокувати iPhone та відновити дані
    Як розблокувати iPhone та відновити дані: ІНСТРУКЦІЯ
    1 рік тому
    Найкращі блокувальники реклами для Android у 2024 році
    Найкращі блокувальники реклами для Android у 2026 році
    1 день тому
    Останні новини
    Найкращі блокувальники реклами для Android у 2026 році
    1 день тому
    Вхід без пароля: як налаштувати біометричну автентифікацію Windows Hello
    2 дні тому
    Як очистити кеш і файли cookie у Firefox: інструкція для компʼютера та смартфона
    2 дні тому
    Як оплачувати через Google Pay: налаштування і користування в Україні
    2 дні тому
  • Статті
    Статті
    Цікаві статті про світ технологій, інтернет та кіберзахист. Розбираємо складні теми, від штучного інтелекту до безпеки даних та Big Data. Аналітика для допитливих та професіоналів.
    Показати ще
    Топ-новини
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    8 місяців тому
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    3 місяці тому
    Які послуги входять в обслуговування орендованого сервера
    Які послуги входять в обслуговування орендованого сервера
    8 місяців тому
    Останні новини
    Як побудувати захищений електронний документообіг у компанії: від КЕП до FIDO2
    8 години тому
    Ностальгія, виклик і справжня ігрова магія: чому ретро-ігри залишаються улюбленими
    12 години тому
    Глава МЗС Британії застерігає: без глобальних правил штучний інтелект може стати загрозою масштабу Хіросіми
    1 тиждень тому
    Що таке шкідливе ПЗ: види загроз, як вони працюють і як захиститися
    3 тижні тому
  • Огляди
    ОглядиПоказати ще
    Який ноутбук купити: Windows чи macOS? 10 речей, які варто врахувати
    Який ноутбук купити: Windows чи macOS? 10 речей, які варто врахувати
    2 дні тому
    google maps e1783414031259
    7 функцій Google Maps, які варто використовувати у 2026 році
    7 днів тому
    Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
    Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
    2 тижні тому
    10c46d336be797cecad10a202f8a0d5ed8bbd3afa07bb09b0e5653b174a3573c
    Google Maps проти Apple Maps у 2026 році: який застосунок кращий
    2 тижні тому
    Заборона соцмереж для дітей: які країни вже ввели обмеження і де готують закони
    Заборона соцмереж для дітей: які країни вже ввели обмеження і де готують закони
    1 місяць тому
  • Техногіганти
    • Google
    • Apple
    • Microsoft
    • Meta
    • OpenAI
    • Anthropic
    • xAI
    • Samsung
  • Теми
    • Комп’ютери
    • Смартфони
    • Електронна пошта
    • Windows
    • Linux
    • Android
    • iPhone
    • VPN
    • Штучний інтелект
    • Робототехніка
Соцмережі
  • Facebook
  • Instagram
  • YouTube
  • TikTok
  • X (Twitter)
  • Threads
Спеціальні теми
  • Кібервійна
  • Маніпуляції в медіа
  • Дезінформація
  • Безпека дітей в Інтернеті
  • Розумний будинок
Інше
  • Сканер безпеки сайту
  • Архів
Читання: Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них
Розмір шрифтаAa
CyberCalmCyberCalm
Пошук
  • Техногіганти
    • Комп’ютери
    • Смартфони
    • Соцмережі
    • Google
    • Android
    • Apple
    • Windows
    • Linux
    • Штучний інтелект
    • Безпека дітей в інтернеті
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Сканер безпеки сайту
  • Архів
Follow US
  • Про проєкт Cybercalm
  • Політика конфіденційності
  • Контакти
© 2025 Cybercalm. All Rights Reserved.
Головна / Кібербезпека / Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них

Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них

Кібербезпека
3 місяці тому
Поширити
6 хв. читання
Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них

Невідомий зловмисник придбав на торговому майданчику Flippa портфель із понад 30 безкоштовних WordPress-плагінів з багаторічною репутацією — і додав до кожного з них прихований бекдор. Шкідливий код непомітно існував на сайтах вісім місяців, перш ніж був активований у квітні 2026 року. WordPress.org закрив усі 31 плагін в один день.

Зміст
  • Купівля репутації: як усе починалося
  • Бекдор: вісім місяців очікування
  • WordPress.org закрив усі плагіни за один день
  • Список уражених плагінів
  • Що робити: покроковий алгоритм дій
  • Системна проблема: WordPress не перевіряє нових власників плагінів

Купівля репутації: як усе починалося

Портфель плагінів під назвою Essential Plugin (раніше — WP Online Support) будувала індійська команда розробників починаючи з 2015 року. За понад десять років вони створили понад 30 безкоштовних плагінів із преміум-версіями: слайдери, галереї, таймери зворотного відліку, спливаючі вікна, тестимоніали тощо.

Наприкінці 2024 року доходи бізнесу впали на 35–45%, і один із засновників виставив весь портфель на продаж через майданчик Flippa. Покупець, відомий лише як «Kris» із досвідом у SEO, криптовалюті та гемблінг-маркетингу, придбав бізнес за шестизначну суму. Flippa навіть опублікував кейс-стаді про цей правочин у липні 2025 року.

Перший же SVN-коміт нового власника виявився бекдором. Засновник хостингової компанії Anchor Hosting Остін Гіндер опублікував у своєму блозі детальний опис атаки на ланцюг постачання.

- Advertisement -

Бекдор: вісім місяців очікування

8 серпня 2025 року новий власник випустив версію 2.6.7 плагіна Countdown Timer Ultimate. У журналі змін значилося лише «перевірка сумісності з WordPress 6.8.2». Насправді оновлення додавало прихований модуль, який дозволяв зловмисникові дистанційно керувати сайтом.

Шкідливий код нічого не робив протягом восьми місяців — аж до 5–6 квітня 2026 року, коли атака була активована. Модуль зв’язався із зовнішнім сервером і завантажив файл із назвою, навмисне схожою на стандартний файл WordPress. Далі у файл налаштувань сайту wp-config.php інжектувався масивний блок прихованого коду.

Шкідливе ПЗ показувало спам-посилання та підроблені сторінки лише пошуковим роботам — власники сайтів нічого не бачили. Щоб ускладнити блокування, зловмисники використовували адресу управляючого сервера, закодовану в смарт-контракті Ethereum: традиційне блокування домену не спрацювало б, адже нову адресу можна оновити прямо в блокчейні.

WordPress.org закрив усі плагіни за один день

7 квітня 2026 року команда WordPress.org Plugins Team остаточно закрила всі 31 плагін від автора essentialplugin. 8 квітня платформа примусово оновила плагіни на всіх сайтах до версії 2.6.9.1, яка нейтралізувала механізм зв’язку з сервером зловмисника. Однак примусове оновлення не очистило wp-config.php — якщо сайт вже встиг отримати шкідливий код, той продовжував працювати.

Список уражених плагінів

Перевірте свій сайт на наявність будь-якого з наведених нижче плагінів та негайно видаліть їх:

  • Accordion and Accordion Slider
  • Album and Image Gallery Plus Lightbox
  • Audio Player with Playlist Ultimate
  • Blog Designer for Post and Widget
  • Countdown Timer Ultimate
  • Featured Post Creative
  • Footer Mega Grid Columns
  • Hero Banner Ultimate
  • HTML5 VideoGallery Plus Player
  • Meta Slider and Carousel with Lightbox
  • Popup Anything on Click
  • Portfolio and Projects
  • Post Category Image with Grid and Slider
  • Post Grid and Filter Ultimate
  • Preloader for Website
  • Product Categories Designs for WooCommerce
  • Responsive WP FAQ with Category (sp-faq)
  • SlidersPack — All in One Image Sliders
  • SP News And Widget
  • Styles for WP PageNavi — Addon
  • Ticker Ultimate
  • Timeline and History Slider
  • Woo Product Slider and Carousel with Category
  • WP Blog and Widgets
  • WP Featured Content and Slider
  • WP Logo Showcase Responsive Slider and Carousel
  • WP Responsive Recent Post Slider
  • WP Slick Slider and Image Carousel
  • WP Team Showcase and Slider
  • WP Testimonial with Widget
  • WP Trending Post Slider and Widget

Що робити: покроковий алгоритм дій

  1. Перевірте список встановлених плагінів. У панелі керування WordPress перейдіть до розділу «Плагіни» і порівняйте з наведеним вище списком.
  2. Деактивуйте та видаліть уражені плагіни. Не просто деактивуйте — видаляйте повністю. Шукайте альтернативи від перевірених авторів.
  3. Перевірте файл wp-config.php. Відкрийте файл через файловий менеджер хостингу або FTP. Нормальний розмір — близько 3–4 КБ. Якщо файл значно більший (6+ КБ) або ви бачите незрозумілий код у кінці рядка require_once ABSPATH . wp-settings.php — сайт скомпрометований.
  4. Якщо wp-config.php заражений — зверніться до фахівця. Просте видалення плагіна не допоможе: необхідне повне очищення сайту, перевірка всіх файлів і, можливо, відновлення з резервної копії, зробленої до 5 квітня 2026 року.
  5. Перевірте резервні копії. Порівняйте розмір wp-config.php у резервних копіях за різні дати. Якщо резервні копії зберігаються на хостингу, звернення до служби підтримки допоможе встановити точний момент зараження.
  6. Змініть паролі. Після очищення сайту змініть паролі адміністратора WordPress, бази даних та облікового запису хостингу.
  7. Встановіть плагін безпеки. Плагіни на кшталт Wordfence або iThemes Security допоможуть виявляти підозрілі зміни файлів у майбутньому.
  8. Відстежуйте сповіщення WordPress.org. Коли платформа закриває плагін через безпеку, у панелі адміністратора WordPress з’являється відповідне попередження. Ніколи не ігноруйте ці повідомлення.

Системна проблема: WordPress не перевіряє нових власників плагінів

Це вже не перший подібний випадок. Тижнем раніше аналогічна атака була виявлена з плагіном Widget Logic. У 2017 році покупець плагіна Display Widget (200 000 активних встановлень) так само впровадив спам-код після придбання.

WordPress.org не має жодного механізму для перевірки зміни власника плагіна. Ні сповіщення користувачів, ні додаткової перевірки коду при появі нового коміттера. Команда безпеки платформи відреагувала швидко після виявлення атаки — але між впровадженням бекдора і його виявленням минуло вісім місяців.

Цей інцидент ілюструє ключовий ризик ланцюжка постачання програмного забезпечення: навіть багаторічний надійний інструмент може стати загрозою після зміни власника. Перевіряйте, хто розробляє плагіни, які ви використовуєте, і стежте за змінами в їхньому авторстві.

- Advertisement -

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

Перевірте свою поштову скриньку або папку зі спамом, щоб підтвердити підписку.

ТЕМИ:WordPressатака на ланцюг постачаннябекдорплагінишкідливе ПЗ
Поділитися
Facebook Threads Копіювати посилання Друк
Що думаєте?
В захваті0
Сумно0
Смішно0
Палає0
Овва!0
Попередня стаття OpenAI запустила GPT-5.4-Cyber — AI-модель для кібербезпеки з послабленими обмеженнями OpenAI запустила GPT-5.4-Cyber — ШІ-модель для кібербезпеки з послабленими обмеженнями
Наступна стаття Росія заблокувала Bluesky: Роскомнадзор розширює інтернет-цензуру Росія заблокувала Bluesky: Роскомнадзор розширює інтернет-цензуру

В тренді

Як безпечно зберігати файли на Google Диску? Поради
Як безпечно зберігати файли на Google Диску: поради
7 днів тому
google maps e1783414031259
7 функцій Google Maps, які варто використовувати у 2026 році
7 днів тому
Чому ретро-ігри отримують стільки любові
Ностальгія, виклик і справжня ігрова магія: чому ретро-ігри залишаються улюбленими
10 години тому
Браузер DuckDuckGo тепер блокує більшість відеореклами на YouTube
Браузер DuckDuckGo тепер блокує більшість відеореклами на YouTube
5 днів тому
Meta запустила ШІ-генератор зображень Muse Image — користувачі вже протестують проти використання їхніх фото
Meta запустила ШІ-генератор зображень Muse Image — користувачі вже протестують проти використання їхніх фото
5 днів тому

Рекомендуємо

Атака GhostCommit: як прихований в зображенні промпт змушує ШІ-асистента зливати секрети
Кібербезпека

Атака GhostCommit: як прихований в зображенні промпт змушує ШІ-асистента зливати секрети

16 години тому
Joker: як працює один із найживучіших Android-троянів і як від нього захиститися
Кібербезпека

Joker: як працює один із найживучіших Android-троянів і як від нього захиститися

5 днів тому
Вірус-вимагач: як працює здирницьке ПЗ і як захистити свої дані
Кібербезпека

Вірус-вимагач: як працює здирницьке ПЗ і як захистити свої дані

2 тижні тому
Як знайти та видалити шпигунські програми на вашому смартфоні? - ІНСТРУКЦІЯ
Гайди та поради

Як знайти та видалити шпигунське ПЗ на смартфоні: інструкція для Android та iPhone

3 тижні тому

Гарячі теми

  • Кібербезпека
  • Штучний інтелект
  • Смартфони
  • Комп'ютери
  • Соцмережі
  • Безпека дітей в Інтернеті

Приєднуйтесь

Ласкаво просимо до CyberCalm – вашого надійного провідника у світі цифрової безпеки та спокою!

Інформація
  • Про нас
  • Політика конфіденційності
  • Контакти
Навігація
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Техногіганти
CyberCalmCyberCalm
© 2025 Cybercalm. All Rights Reserved.
Cybercalm
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?