CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

O serie de pluginuri WordPress a fost compromisă pentru a distribui programe malware

16 aprilie 2026

Sursă: https://www.bleepingcomputer.com

Peste 30 de pluginuri WordPress din pachetul EssentialPlugin au fost compromise prin coduri rău intenționate care permit accesul neautorizat la site-urile web pe care sunt instalate.

O persoană rău intenționată a inserat codul backdoor anul trecut, dar abia recent a început să-l distribuie utilizatorilor prin intermediul actualizărilor, generând pagini de spam și provocând redirecționări, conform instrucțiunilor primite de la serverul de comandă și control (C2).

EssentialPlugin, înființată în 2015 sub numele de WP Online Support și redenumită în 2021, este o firmă de dezvoltare WordPress care oferă slidere, galerii, instrumente de marketing, extensii WooCommerce, utilitare SEO/analitice și teme.

Potrivit specialiștilor, backdoor-ul a rămas inactiv până când a fost activat recent și a accesat în mod discret infrastructura externă pentru a descărca un fișier (wp-comments-posts.php) care injectează malware în fișierul wp-config.php.

Malware-ul descărcat este nevizibil pentru administratorii site-ului și utilizează o adresă C2 bazată pe Ethereum pentru a evita detectarea. În funcție de instrucțiunile primite, malware-ul poate genera link-uri de spam, redirecționări și pagini false.

Analiza efectuată de platforma de securitate WordPress indică faptul că backdoor-ul funcționa doar dacă endpoint-ul analytics.essentialplugin.com returna un conținut serializat rău intenționat.

WordPress.org a reacționat rapid la semnalările privind activitatea rău intenționată, blocând pluginurile și impunând o actualizare obligatorie site-urilor web pentru a neutraliza comunicarea backdoor-ului și a dezactiva calea sa de execuție.

Cu toate acestea, dezvoltatorii au avertizat că această măsură nu a eliminat compromiterea din fișierul de configurare principal wp-config, care conectează site-urile web la bazele lor de date și conține setări importante.

Echipa de pluginuri WordPress.org a avertizat, de asemenea, administratorii site-urilor web care utilizează un produs EssentialPlugin că, deși una dintre locațiile cunoscute în care se ascunde backdoor-ul este un fișier numit wp-comments-posts.php, care seamănă cu fișierul legitim wp-comments-post.php, malware-ul se poate ascunde și în alte fișiere.

Sursă: https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/

Ai mai putea citi

O vulnerabilitate a Windows Active Directory permite executarea de cod malițios

16 aprilie 2026

Vulnerabilitate critică în interfața Nginx exploatată activ

16 aprilie 2026

O serie de pluginuri WordPress a fost compromisă pentru a distribui programe malware

16 aprilie 2026

Vulnerabilitatea zero-day a Microsoft SharePoint Server este exploatată activ

15 aprilie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |