Бэкдор через обновление: набор WordPress-плагинов заразил тысячи сайтов скрытым малварем

20.04.2026

Более 30 плагинов из пакета EssentialPlugin оказались скомпрометированы вредоносным кодом, который давал посторонним доступ к сайтам на WordPress. По имеющимся данным, бэкдор внедрили еще в 2025 году, но активировали только недавно через обновления. После установки зараженной версии код связывался с внешней инфраструктурой и загружал файл wp-comments-posts.php, который затем внедрял вредоносный фрагмент в wp-config.php.

Сама нагрузка работала скрытно. Она использовала Ethereum-based C2 address resolution для обхода обнаружения и по команде могла подгружать спам-страницы, редиректы и фейковые страницы. Отдельно отмечается, что вредоносный контент показывался Googlebot, оставаясь практически невидимым для владельцев сайта. Это позволяло одновременно использовать заражение для SEO-spam и для несанкционированного управления поведением ресурса.

Критичный момент в том, что WordPress.org уже закрыла плагины и принудительно разослала обновление, которое блокирует канал связи бэкдора и его выполнение, но не удаляет уже внесенные изменения из wp-config.php. Администраторам также указали на файл wp-comments-posts.php, который маскируется под легитимный wp-comments-post.php, но предупредили, что вредонос может скрываться и в других местах. То есть простого обновления здесь недостаточно: зараженные сайты нужно проверять и чистить вручную.

Инцидент особенно неприятен тем, что речь идет не о взломе отдельного сайта, а о supply chain-атаке на саму цепочку обновлений плагинов. У части затронутых продуктов были сотни тысяч активных установок, поэтому даже короткое окно доставки вредоносного апдейта создавало масштабный риск для WordPress-инфраструктуры.