摘要：【导读】 开源社区爆出惊天丑闻！数十款原本广受欢迎的 WordPress 插件在被神秘公司收购后，竟集体“黑化”。据安全专家警告，这些插件已被植入致命后门，正向全球数万个活跃网站推送恶意代码。…

【导读】 开源社区爆出惊天丑闻！数十款原本广受欢迎的 WordPress 插件在被神秘公司收购后，竟集体“黑化”。据安全专家警告，这些插件已被植入致命后门，正向全球数万个活跃网站推送恶意代码。

一、 隐秘的杀招：潜伏一年的“休眠后门”被激活

这次攻击并非粗暴的黑客入侵，而是一场蓄谋已久的供应链攻击：

• 收购即投毒： 安全专家、Anchor Hosting 创始人 Austin Ginder 揭露，一家名为 Essential Plugin 的开发商去年在被神秘资方收购后，其名下的插件源码便被立刻植入后门。

• 定时炸弹： 该后门在代码中静默潜伏了近一年之久，直到本月初才被远程激活，开始疯狂地向所有安装了该插件的网站传播恶意代码。

• 波及范围广： 涉事开发商宣称其插件总安装量超过 40 万次，拥有 1.5 万名付费客户；官方数据显示，目前受直接影响的活跃网站已超 2 万个。

二、 致命漏洞：你信任的插件可能正在“监守自盗”

WordPress 用户通常通过插件扩展功能，但这无异于向插件开发者交出了网站的“钥匙”：

1. 权限泛滥： 插件拥有对网站服务器的高级别访问权，一旦插件“变节”，网站所有者根本无法阻拦恶意扩展程序的攻击。

2. 所有权迷雾： Ginder 发出严厉警告，WordPress 官方并不会通知用户某个插件的所有权是否发生了变更。这意味着，你信任的开发者可能早已套现离场，而你正在使用由黑客接管的“毒插件”。

三、 两周内第二起！“插件劫持”已成黑产套路

这并非孤立事件。据悉，这已经是过去两周内发现的第二起大规模 WordPress 插件劫持事件。

• 成熟黑产链： 安全研究人员指出，恶意行为者通过收购拥有大量用户的现成软件，然后篡改代码入侵全球计算机，这种“洗白后投毒”的做法已成为黑客入侵的新型捷径。

四、 专家自救建议：不仅下线，更要彻底清除

目前，WordPress 官方目录已紧急移除了受影响的插件，并将其标记为“永久关闭”。

安全专家紧急提醒：

• 主动排查： 即使插件已在官网上架，如果你的网站后台已经安装了受影响的插件，它们依然存在且运行。

• 彻底移除： 用户应立即对照 Essential Plugin 的受影响名单（可在 Austin Ginder 博文中查看），手动检查并彻底删除这些恶意插件。

• 警惕收购信息： 网站管理员应定期关注所用核心插件的归属变动，对于突然更换母公司的插件要保持高度警惕。