ИБ-специалисты обнаружили, что более 30 плагинов из пакета EssentialPlugin были скомпрометированы. Еще в 2025 году неизвестные злоумышленники внедрили в них бэкдор, который открывает несанкционированный доступ к сайтам под управлением WordPress. Пострадать от этой кампании могли сотни тысяч сайтов.

Компания EssentialPlugin была основана в 2015 году и тогда носила название WP Online Support (переименование произошло в 2021 году). Среди продуктов EssentialPlugin — слайдеры, галереи, инструменты для email-маркетинга, расширения WooCommerce, SEO-плагины и темы.

Согласно официальному сайту Essential Plugin, плагины установлены более 400 000 раз, и суммарно решениями компании пользуются свыше 15 000 клиентов.

Бэкдор появился в коде плагинов еще в августе 2025 года, вскоре после того, как EssentialPlugin сменила владельца (издание BleepingComputer отмечает, что новый хозяин заплатил за проект шестизначную сумму). Долгое время малварь никак не проявляла себя, но недавно ее активировали и начали рассылать обновления пользователям. Именно через механизм штатных обновлений заражение и распространилось по сайтам.

Одним из первых на взлом обратил внимание основатель хостинг-провайдера Anchor Hosting Остин Гиндер (Austin Ginder), которому сообщили об одном подозрительном плагине. Начав изучение проблемы, Гиндер обнаружил, что бэкдор скрыт во всех продуктах пакета.

После активации малварь незаметно связывалась с внешним сервером и скачивала оттуда файл wp-comments-posts.php, который затем встраивал вредоносный код в wp-config.php — главный конфигурационный файл WordPress, где хранятся настройки подключения к базе данных.

При этом для связи с управляющим сервером вредонос использовал адресацию через Ethereum-блокчейн, что затрудняло обнаружение и блокировку атаки.

Отмечается, что по команде от C2-сервера малварь могла генерировать спам-ссылки, редиректы и фейковые страницы. При этом весь этот спам был «виден» исключительно Googlebot, но не владельцам сайтов. То есть хозяин ресурса ничего не подозревал, а поисковые системы «видели» сайт зараженным.

Кроме того, по данным аналитиков компании PatchStack, бэкдор активировался только при определенном условии: эндпоинт analytics.essentialplugin.com должен был вернуть вредоносный сериализованный контент.

Разработчики WordPress.org быстро отреагировали на сообщение о вредоносной активности. В настоящее время скомпрометированные плагины заблокированы, а на зараженные сайты отправлено принудительное обновление, нейтрализующее бэкдор и обрывающее его связь с управляющим сервером. Однако специалисты предупредили, что принудительное обновление не очищает wp-config.php, и файл нужно проверять вручную.

Также администраторам рекомендуется обратить внимание на то, что основной точкой заражения выступает файл wp-comments-posts.php (не путать с легитимным wp-comments-post.php). Однако малварь может скрываться и в других местах.