Пока владельцы сайтов спорят о сложности взлома, злоумышленники нашли способ легально получить доступ к 20 тысячам ресурсов. Достаточно просто купить популярный плагин вместе с наработанным доверием пользователей. Недавняя история с разработчиком Essential Plugin показала, как коммерческая сделка оборачивается тотальной утечкой контроля.
Проблема проявила себя после того, как продукт сменил владельца ещё в прошлом году. Новые хозяева внедрили вредоносный код в обновления, а активировали его только спустя месяцы — в начале апреля. Бэкдор тихо разошёлся по серверам, и только тогда специалисты заметили аномалию. Число потенциально заражённых сайтов, по данным каталога WordPress, достигло 20 тысяч.
Главная уязвимость кроется не в технической сложности атак, а в самом процессе передачи прав. Платформа не уведомляет пользователей о смене владельца плагина, хотя тот получает полный доступ к системе. Эта ситуация стала уже второй за месяц — индустрия давно обсуждает риски, когда популярный продукт покупают специально для скрытого захвата.
После обнаружения угрозы заражённые расширения удалили из официального каталога, пометив статусом «Закрыт навсегда». Однако этого недостаточно: администраторам сайтов настоятельно рекомендуют вручную проверить список установленных компонентов и удалить подозрительные. Конкретные названия плагинов были опубликованы в профильном блоге.
История с Essential Plugin — не единичный сбой, а системная дыра в модели доверия экосистемы WordPress. Пока платформа не внедрит механизм оповещения о смене владельца, любой популярный плагин может стать троянским конём. Владельцам сайтов стоит пересмотреть правило «купил и забыл» и регулярно аудировать даже проверенных разработчиков.