Σοβαρή Παραβίαση Ασφαλείας: Κακόβουλο Λογισμικό Σε Ευρέως Χρησιμοποιούμενες Προσθήκες Wordpress
Μια πρόσφατη σοβαρή παραβίαση που αφορά περισσότερες από 30 προσθήκες WordPress, οι οποίες ανήκουν στο πακέτο EssentialPlugin, έχει προκαλέσει ανησυχία σε χιλιάδες διαχειριστές ιστότοπων. Αυτή η επίθεση, που περιλαμβάνει την εισαγωγή κακόβουλου κώδικα, επιτρέπει σε κακόβουλους χρήστες να αποκτούν μη εξουσιοδοτημένη πρόσβαση σε ιστότοπους που χρησιμοποιούν αυτές τις προσθήκες. Ο κώδικας της κερκόπορτας έχει ενεργοποιηθεί πρόσφατα, γεγονός που δημιούργησε φαινόμενα ανεπιθύμητης αλληλογραφίας και μεταφοράς επισκεπτών σε ύποπτες σελίδες, υποδεικνύοντας μια συντονισμένη επιχείρηση κακόβουλης δράσης μέσω ενός διακομιστή εντολών και ελέγχου (C2).
Πώς Διαπιστώθηκε Η Επίθεση
Η απάτη ανακαλύφθηκε από τον Austin Ginder, ιδρυτή της Anchor Hosting, μετά από μια συμβουλή σχετικά με μια προσθήκη που φαινόταν να περιέχει κώδικα που επέτρεπε την πρόσβαση τρίτων. Η έρευνα αποκάλυψε ότι η κερκόπορτα έχει στεγαστεί σε όλα τα πρόσθετα του EssentialPlugin από τον Αύγουστο του 2025, όταν και το έργο αγοράστηκε από νέο ιδιοκτήτη.
Η EssentialPlugin, που ιδρύθηκε το 2015 ως WP Online Support και μετονομάστηκε το 2021, προσφέρει διάφορες λύσεις για WordPress, από γκαλερί και εργαλεία μάρκετινγκ μέχρι επεκτάσεις WooCommerce και βοηθητικά προγράμματα SEO.
Μηχανισμός Λειτουργίας της Κερκόπορτας
Ο κώδικας που εισήχθη παραμένει ανενεργός μέχρι να ενεργοποιηθεί, και τότε συνδέεται με εξωτερικές υποδομές για να ανακτήσει το αρχείο wp-comments-posts.php, χρησιμοποιώντας τεχνικές ανάλυσης C2 που βασίζονται στο Ethereum. Ο σκοπός; Να ανακτήσει ανεπιθύμητους συνδέσμους, ανακατευθύνσεις και ψεύτικες σελίδες, παρακάμπτοντας τα συστήματα ασφαλείας των ιστοτόπων.
Όπως δήλωσε ο Ginder, “Ο κώδικας που εισήχθη ήταν πολύπλοκος. Δημιούργησε ανακατευθύνσεις και ψεύτικες σελίδες, εμφανίζοντας αυτό το περιεχόμενο μόνο στο Googlebot, καθιστώντας το αόρατο για τους διαχειριστές των ιστότοπων.” Αξιοσημείωτο είναι ότι ο κώδικας ήταν σχεδιασμένος έτσι ώστε οι διαχειριστές να μην μπορούσαν να τον ανιχνεύσουν εύκολα.
Αντίκτυποι και Αντίμετρα
Η PatchStack ανέφερε ότι η λειτουργία της κερκόπορτας απαιτούσε την επαναφορά κακόβουλου σειριακού περιεχομένου από έναν συγκεκριμένο διακομιστή, θέτοντας τους διαχειριστές σε κίνδυνο. Αν και η WordPress.org αντιδράσε γρήγορα απενεργοποιώντας τις προσθήκες και προτρέποντας εναγκαλιστική αναβάθμιση στους ιστότοπους, οι προγραμματιστές προειδοποίησαν ότι τα αρχεία ρυθμίσεων, όπως το wp-config.php, θα μπορούσαν να παραμείνουν μολυσμένα.
Μέχρι και σήμερα, οι προγραμματιστές προειδοποιούν τους διαχειριστές ιστότοπων που χρησιμοποιούν προϊόντα EssentialPlugin να είναι σε επαγρύπνηση, καθώς η κερκόπορτα μπορεί να είναι κρυμμένη σε πολλά αρχεία, κάνοντας την ανίχνευσή της ένα δύσκολο εγχείρημα.
Conclusion
Ιδιαίτερη προσοχή απαιτείται από κάποιους που χρησιμοποιούν πρόσθετα της EssentialPlugin. Η ασφαλής περιήγηση και η παρακολούθηση των ιστοτόπων παραμένουν κλειδιά για να αποτραπεί μια παρόμοια παραβίαση στο μέλλον. Η ενημέρωση και ο έλεγχος των προσθέτων και των αρχείων βρίσκονται στην κορυφή της λίστας των καθηκόντων για τους διαχειριστές που θέλουν να διασφαλίσουν την ασφάλεια και την ακεραιότητα του ιστότοπού τους.
Η ομάδα του BleepingComputer προσπάθησε να επικοινωνήσει με την EssentialPlugin προς επίτευξη σχολιασμού σχετικά με την αναφορά της κακόβουλης δέσμευσης, αλλά δεν υπήρξε απάντηση μέχρι τη στιγμή της δημοσίευσης.
AI linked four zero-days to an exploit that bypassed both renderer and operating system sandboxes. A wave of new exploits is coming.
At the Autonomous Validation Summit (May 12 & 14), see how autonomous, context-rich validation finds exploitables, proves controls are valid, and closes the remediation loop.
