WordPress 插件供应链攻击事件总结 漏洞概述 攻击者收购了名为 "Essential Plugin" 的 WordPress 插件开发商,并在其 30 多个插件中植入了后门。攻击者通过 文件注入恶意代码,利用区块链智能合约作为 C2 服务器,使传统的域名封锁无法生效。 影响范围 受影响插件数量:30+ 个插件 受影响网站:至少 191 个网站 攻击时间线: - 2025年8月:攻击者收购插件开发商 - 2025年8月28日:植入后门代码 - 2026年4月6日:后门激活并开始分发恶意载荷 恶意代码位置: 文件 修复方案 1. WordPress.org 官方措施:永久关闭了所有 31 个受影响的插件 2. 手动修复步骤: - 删除插件中的 目录 - 移除主 PHP 文件中的加载函数块 - 更新插件版本号为 - 重新安装修复后的插件 POC 代码 关键发现 攻击者利用区块链智能合约存储 C2 域名,使传统封锁失效 后门在植入后休眠了 8 个月才激活 攻击者通过 Flippa 平台收购了插件开发商 WordPress.org 在发现后强制更新了所有受影响插件