最近有没有收到过WordPress后台的奇怪更新通知?或者是那种”急迫需要你立即更新”的弹窗?

不好意思,这次出大事了。

就在前两天,安全公司Wordfence甩出来一个重磅炸弹:30个WordPress插件被植入后门,全都是一个叫”Essential Plugin”的团队搞的鬼。对,你没看错,30个。不是3个,是30个。

网络安全概念图

这事有多严重?

这么说吧,如果你用的是WordPress建站,而这30个插件里你装了至少一个,那你的网站可能已经:
– 被悄咪咪地注入了恶意管理员账号
– 数据库被人翻了个底朝天
– 甚至可能被当成肉鸡去攻击别人

而且这事儿可怕之处在于:后门是隐藏的,不是那种一眼就能看出来的病毒。它就藏在代码深处,平时跟个乖宝宝似的,等到关键时刻才露出獠牙。

到底发生了什么?

根据安全研究人员的分析,这次事件大体上是这么个流程:

  1. 供应链投毒:攻击者通过某种方式获取了这些插件的代码控制权(具体细节还在调查中)
  2. 隐蔽后门:在插件更新中植入了恶意代码,可以绕过身份验证创建管理员账户
  3. 静默等待:后门代码平时不搞事情,只等特定指令才会激活
  4. 数据收割:一旦被激活,攻击者就能远程控制网站为所欲为

有意思的是,这些插件大部分都是那种”工具箱”类的——什么SEO优化啊、页面构建啊、网站加速啊,都是大家常用的。覆盖面之广,简直就是广撒网式攻击。

谁受伤了?

目前官方还没有公布具体有多少网站中招。但考虑到这30个插件的安装量——保守估计也有几十万个网站吧。更要命的是,很多站长可能压根不知道自己已经”被更新”了。

我们能做什么?

赶紧检查你的WordPress后台:

  • 去插件列表里搜搜有没有这些名字:Essential Plugin、OptinMonster、Social Warfare、Thrive Themes、Genesis Framework(以及其他相关主题)
  • 如果发现可疑更新,立刻回滚到之前的版本
  • 检查是否有来路不明的管理员账户
  • 最好把重要数据先备份一下

安全建议:

  1. 别看到更新就点”立即更新”,先等一两天看看社区反馈
  2. 能不用第三方插件解决的,就用主题自带的
  3. 定期换管理员密码,不是那种123456级别的
  4. 有条件的装个Wordfence啊、iThemes Security之类的安全插件

WordPress后台

讲真,每次看到这种供应链攻击的事件,我都后背发凉。你说你规规矩矩用WordPress建个站招谁惹谁了?结果插件作者出了事,连带一群人跟着遭殃。

这事儿也给所有技术从业者提了个醒:开源虽好,但代码来源得看清楚。你敢想象某天你依赖的开源库突然被人埋了个雷吗?

最后想问一句:你们有人在这次事件中招了吗?现在网站还好吗?

参考资料

关于作者:开源派,关注开源技术与独立开发。