堆代码讯 近日，一场针对全球最大开源建站生态 WordPress 的供应链攻击引发了广泛恐慌，31 款广泛使用的建站插件已被 WordPress 官方紧急永久下架。这些插件被新所有者秘密植入后门，可向所有安装站点批量推送恶意代码，直接威胁数万网站的安全。

Anchor Hosting 的创始人 Austin Ginder 上周率先发布安全警报，揭露了这起针对插件制造商 Essential Plugin 的精准供应链攻击。根据 Ginder 的调查，早在 2024 年底，就有神秘买家收购了 Essential Plugin 这家插件厂商，交易金额达到六位数。交易完成后，新所有者很快就在旗下所有插件的源代码中植入了后门，但这个恶意代码并没有立刻发作，而是进入了长达 8 个月的休眠状态，直到 2026 年 4 月 5 日至 6 日才突然被激活，开始向所有安装了这些插件的网站分发恶意代码。

有知情人士透露，此次收购的买家背景涉及 SEO、加密货币与赌博领域，这也让外界猜测，攻击者植入后门的核心目的，很可能是通过被入侵的网站批量推送相关推广内容或恶意广告，以此牟利。

数万站点中招，用户竟收不到风险提醒

Essential Plugin 在其官方网站上声称，旗下插件的累计安装量超过 40 万，拥有超过 1.5 万名付费客户。而 WordPress 官方的插件页面数据显示，仅本次受影响的恶意插件，就已经被安装在超过 2 万个活跃的 WordPress 站点中，影响范围不容小觑。这类攻击之所以能轻易得手，根源在于 WordPress 生态长期存在的安全机制缺陷。一方面，WordPress 的插件本身就需要获得网站的高权限，才能为站点扩展各类功能，这意味着一旦插件被植入恶意代码，攻击者就可以直接控制整个网站，窃取数据或篡改内容。

但更致命的是，Ginder 警告，WordPress 平台并不会向用户推送任何插件所有权变更的通知。绝大多数站长根本不知道，自己日常使用的插件已经更换了所有者，更无从察觉潜在的安全风险，这就给了攻击者 “悄无声息投毒” 的可乘之机。

两周内两起同类攻击，“买壳投毒” 成黑产新宠

这已经是近两周内曝光的第二起同类插件劫持事件。就在一周前，Ginder 刚刚曝光了另一起针对 Widget Logic 插件的供应链攻击，攻击模式如出一辙：原本口碑可靠的老牌插件，在被新收购方接手后，遭秘密植入恶意后门。而更早之前，热门插件 Smart Slider 3 的供应链攻击更是引发了行业巨震，那次攻击导致多达 90 万个 WordPress 站点被植入后门，创下了近年来同类攻击的影响规模纪录。

安全研究人员其实早就对这类风险发出了长期警告。恶意攻击者只需要收购一款已经积累了一定用户基础的小众插件，就可以悄无声息地入侵全球数千甚至数万个网站。这种 “买壳投毒” 的攻击模式，成本低、隐蔽性强，受害者往往在数月甚至数年后才会发现异常，正在成为黑产团伙的新宠。

官方紧急下架，站长需手动排查风险

目前，WordPress 官方已经第一时间将所有受影响的 Essential Plugin 旗下插件从官方插件目录中移除，并且将这些插件的状态标记为 “永久关闭”，防止更多用户误装受感染的版本。但 Ginder 特别提醒，已经安装了这些插件的站长，并不会自动收到卸载或风险提醒。用户需要手动检查自己的插件列表，对照 Ginder 公布的受影响插件清单，确认是否安装了恶意插件并彻底删除，避免网站被恶意代码长期控制。

截至目前，Essential Plugin 的相关负责人尚未对此事做出回应。随着 WordPress 生态的不断壮大，插件供应链的安全问题正在成为整个开源生态的新挑战，如何防范这类 “收购投毒” 的攻击，已经成为平台开发者和全球站长都需要共同重视的问题。