数十个WordPress插件被植入后门 千万网站或受影响
2026年4月14日,安全研究人员发现,数十个广泛使用的WordPress开源博客平台插件被植入后门程序,可能导致安装这些插件的网站被植入恶意代码。该后门由新收购插件开发商Essential Plugin的未知主体在2025年添加,并于2026年4月初激活,触发对全球数千个网站的攻击。
Anchor Hosting创始人Austin Ginder在上周发布的博客中首次发出警告,指称该事件为供应链攻击。他指出,Essential Plugin在被收购后,其源代码被恶意篡改,后门代码长期潜伏,直至本月启动。受影响插件在超过20,000个活跃WordPress网站中部署,而Essential Plugin官网声称其插件安装量超过40万次,客户达15,000人。
WordPress插件允许网站所有者扩展功能,但同时也赋予插件访问网站后台的权限,一旦被操控,将造成严重安全漏洞。Ginder强调,WordPress平台不向用户通知插件所有权变更,使用户面临被新所有者控制的风险。这是两周内发现的第二起WordPress插件被劫持事件。
目前,所有受影响插件已在WordPress官方目录中被永久下架。Ginder建议用户立即检查网站是否仍安装相关插件,并尽快卸载。他已在博客中列出全部受影响插件清单。Essential Plugin方面未回应媒体置评请求。
编辑点评
此次WordPress插件后门事件凸显了开源软件供应链安全的重大漏洞。攻击者通过收购软件开发公司,合法获得代码控制权后植入恶意代码,形成‘合法伪装’的攻击路径,极具隐蔽性。此类攻击不依赖传统网络入侵,而是利用软件生态中的信任机制,对全球数百万网站构成系统性威胁。随着开源软件在企业IT架构中的渗透率持续上升,类似事件可能成为未来网络攻击的主流范式之一。
从地缘政治视角看,此类供应链攻击虽无直接国家行为体署名,但其影响广泛,可能被用于情报窃取、网络间谍或对关键基础设施的长期渗透。美国在2022年已成立供应链安全专门机构,但此类事件表明现有监测机制仍存在盲区。中国、欧盟等也在加强开源软件安全审查,但标准尚未统一,国际合作机制亟待完善。
未来,开源项目管理将面临更大挑战:如何建立透明的代码变更审计机制、所有权变更通知系统、以及自动化漏洞检测工具。国际社会或需推动建立类似‘开源软件可信认证’框架,以降低全球数字生态的系统性风险。同时,企业用户需提升自身安全意识,定期审计第三方组件,避免依赖单一供应商。