超30个WordPress插件因所有权变更被植入恶意代码

2026年4月18日，安全研究机构BleepingComputer报道，超过30个WordPress插件被植入恶意代码，允许未经授权访问运行这些插件的网站。恶意代码由攻击者于2025年8月植入，近期通过更新向用户推送，生成垃圾页面并导致重定向，指令来自命令与控制（C2）服务器。

该事件由托管服务商Anchor Hosting创始人Austin Ginder发现。他收到关于一个插件包含第三方访问代码的线索后展开调查，发现EssentialPlugin插件包内的所有插件均被植入后门。Ginder指出，恶意代码通过以太坊智能合约动态解析C2域名，查询公共区块链RPC端点，使传统域名封禁失效。

WordPress.org发布的2.6.9.1版本修复了插件的“电话回家”机制，但未处理wp-config.php文件，导致SEO垃圾内容仍可向Googlebot推送。Ginder称，攻击者仅向Googlebot展示垃圾内容，网站管理员难以察觉。

此事件暴露了WordPress插件市场的信任问题。EssentialPlugin的Flippa交易记录公开，买家背景涉及SEO与赌博营销，但WordPress.org未对所有权变更进行审查，也未触发额外代码审核或用户通知。此前2017年，买家“Daley Tias”以1.5万美元收购Display Widgets插件（20万安装量）后注入贷款广告，并进一步控制至少9个插件。

WordPress.org插件团队在事件暴露后迅速响应，但攻击从植入到发现已历时8个月。安全专家呼吁建立所有权变更审核机制，提升插件生态安全性。