在一次供应链攻击中,安装在多达 3.6 万个 WordPress 网站上的插件被植入了后门。受影响的扩展包括:Social Warfare(安装量三万),BLAZE Retail Widget(10)、Wrapper Link Elementor(一千)、Contact Form 7 Multi-Step Addon(七百)、Simply Show Hooks(四千),这些扩展都托管在官网 WordPress.org 上,过去一周未知攻击者在更新中加入了恶意功能,能自动创建管理权限账号,允许攻击者完全控制相关网站。安全公司 Wordfence 的研究人员称,恶意后门的植入最早发生在 6 月 21 日。任何安装了这些插件的人都应该立即卸载,并检查是否有最近创建的管理员账号。
https://arstechnica.com/security/2024/06/supply-chain-attack-on-wordpress-plugins-affects-as-many-as-36000-sites/
https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-leads-to-5-maliciously-compromised-wordpress-plugins/