Обновления ShapedPlugin взломали для заражения сайтов WordPress
Популярный разработчик плагинов для WordPress, ShapedPlugin, неосознанно распространил вредоносное ПО среди своих клиентов через официальную систему обновлений. Атака на цепочку поставок ставит под угрозу тысячи сайтов.
Что произошло
Экосистема WordPress снова потрясена атакой, исходящей от доверенного источника. 18 июня 2026 года популярный разработчик плагинов ShapedPlugin объявил, что несколько его премиум-плагинов стали жертвой атаки на цепочку поставок. Злоумышленники скомпрометировали официальную инфраструктуру обновлений компании для распространения зараженных обновлений плагинов среди платящих клиентов. Эта ситуация вынудила тысячи владельцев сайтов, которые пытались обезопасить себя, поддерживая свои плагины в актуальном состоянии, неосознанно установить бэкдор на свои собственные сайты.
Такие атаки не зря называют «атаками на цепочку поставок». Подобно тому, как неисправная деталь на производственной линии может повлиять на весь продукт, в мире программного обеспечения компрометация инфраструктуры разработчика делает всех его клиентов прямыми целями. Пользователи безоговорочно доверяют и устанавливают обновления из источника, который они считают легитимным — от самого разработчика плагина. Злоумышленники эксплуатируют именно эти доверительные отношения. Именно это и произошло в случае с ShapedPlugin. Вместо того чтобы взламывать тысячи веб-сайтов по одному, злоумышленники достигли гораздо большего эффекта, нацелившись на источник: систему распространения плагинов.
Инцидент был обнаружен исследователями безопасности из компании Patchstack. Исследователи заметили подозрительные и обфусцированные фрагменты кода в обновлениях некоторых популярных плагинов от ShapedPlugin. Анализ этого кода показал, что он содержит бэкдор, который позволяет злоумышленникам получить полный контроль над веб-сайтами. Этот бэкдор давал злоумышленникам возможность создавать новые учетные записи администраторов на сайте по своему желанию. Это равносильно прямой передаче ключей от сайта злоумышленнику. Само действие «обновления» для обеспечения безопасности стало самой большой уязвимостью в этой атаке.
Ваш email в утечке? Проверьте бесплатно — результат за секунды.
Проверить →Какие данные были скомпрометированы
Согласно исходному сообщению, пока неясно, привела ли атака к прямой утечке данных. Однако, учитывая характер атаки, потенциальные последствия полученного контроля очень серьезны. Бэкдор, установленный злоумышленниками, позволяет им создавать на затронутых сайтах WordPress новых пользователей с наивысшим уровнем привилегий — «администратор». Обладание правами администратора на сайте WordPress означает полный контроль над ним.
Что может сделать злоумышленник с таким уровнем доступа? Вот возможные сценарии:
- Кража пользовательских данных: Может быть украдена личная информация всех зарегистрированных пользователей (адреса электронной почты, имена, возможно, даже адреса и номера телефонов). Если сайт является платформой электронной коммерции, под угрозой также находятся заказы клиентов и конфиденциальная информация.
- Манипуляция контентом: Они могут добавлять на сайт поддельный контент, изменять существующие записи или полностью их удалять. Это может нанести ущерб репутации сайта или причинить долговременный вред его SEO (поисковой оптимизации).
- Распространение вредоносного ПО: Они могут использовать сайт для заражения невинных посетителей вирусами или программами-вымогателями. Сайт может мгновенно превратиться в центр распространения под контролем злоумышленников.
- Фишинговые кампании: Используя доверие к сайту, они могут создавать поддельные формы и страницы для кражи конфиденциальных данных пользователей, таких как учетные данные для входа или данные кредитных карт.
- Спам и SEO-отравление: Они могут вставлять на сайт нерелевантные ссылки для продвижения своих мошеннических сайтов. Это может привести к санкциям со стороны поисковых систем и занесению вашего сайта в черный список.
Вкратце, хотя о прямой утечке данных не сообщалось, компрометация учетной записи администратора несет в себе потенциал компрометации «всего». Поэтому владельцам затронутых сайтов необходимо не только удалить бэкдор, но и провести тщательное расследование на предмет любой несанкционированной активности на своих сайтах.
Как произошла атака
Технические детали атаки показывают, насколько коварными могут быть атаки на цепочку поставок. Злоумышленникам удалось проникнуть в официальную инфраструктуру обновлений и распространения ShapedPlugin. Как именно произошел этот взлом, компания пока не раскрыла, но его последствия очевидны.
Получив доступ к системе, злоумышленники внедрили свой вредоносный код в целевые премиум-плагины. Они действовали очень осторожно. Добавленный ими код был обфусцирован, чтобы избежать немедленного обнаружения. Часто для затруднения чтения кода используются такие функции, как `base64_decode` и `gzuncompress`. Это помогает им обходить автоматические сканеры безопасности и поверхностные проверки кода.
Когда пользователи видели уведомление об обновлении в своих панелях управления WordPress, они одобряли процесс, полагая, что это легитимное обновление от разработчика. После завершения обновления вредоносный код оказывался встроенным в файлы сайта. В частности, было обнаружено, что злоумышленники создали файл с именем `w-sam.php`. Этот файл содержал фактический код бэкдора.
Этот файл `w-sam.php` находится в спящем состоянии, ожидая определенной команды извне. Злоумышленники могут в любой момент активировать этот файл, чтобы создать для себя нового пользователя-администратора на вашем сайте. Этот метод позволяет злоумышленникам долгое время оставаться в системе незамеченными. Поскольку они не пытаются угадать имена пользователей или пароли, они также обходят системы обнаружения атак методом перебора (brute-force). По сути, их стратегия заключалась в том, чтобы заслать шпиона внутрь и ждать, пока он откроет дверь изнутри.
Кто пострадал
Эта атака нацелена не на всех пользователей ShapedPlugin, а на определенный сегмент. Понимание этого различия имеет решающее значение для определения, находитесь ли вы в группе риска.
Кто пострадал:
- Пользователи, купившие премиум (платные) плагины от ShapedPlugin.
- Те, кто обновлял эти плагины в период атаки.
Кто НЕ пострадал:
- Пользователи бесплатных версий плагинов ShapedPlugin, доступных в официальном репозитории WordPress.org. Атака была нацелена на собственную частную систему обновлений ShapedPlugin, а не на инфраструктуру WordPress.org, поэтому пользователи бесплатных версий в безопасности.
Согласно заявлению Patchstack, плагины, через которые распространялись зараженные обновления, включают:
- Real-time Recent Post Slider
- WP Team
- WP Team Pro
- Logo Carousel Pro
- Easy Testimonial Pro
- WP Carousel Pro
- Smart Post Show Pro
Если вы используете Pro (премиум) версию любого из этих плагинов и недавно выполняли обновление, ваш сайт, скорее всего, находится под угрозой. Вам необходимо принять немедленные меры.
Что вы можете сделать
Если вы используете один из перечисленных выше премиум-плагинов на своем сайте, вам необходимо действовать быстро, но без паники, выполнив следующие шаги:
- Немедленно обновитесь: Узнав об атаке, ShapedPlugin быстро выпустил чистые версии. Первое, что вам следует сделать, это зайти в панель администратора WordPress и обновить эти плагины до их последних, безопасных версий. Это удалит вредоносный код с вашего сайта.
- Выполните ручную проверку файлов: Даже после обновления следует проверить файловую систему вашего сайта, чтобы убедиться, что злоумышленники не оставили других следов. Используйте файловый менеджер в вашей панели хостинга (cPanel, Plesk и т.д.) или FTP-клиент для проверки корневого каталога вашего сайта и папок плагинов. В частности, ищите файл с именем `w-sam.php`. Если вы найдете этот файл, немедленно удалите его.
- Проверьте учетные записи пользователей: В панели администратора WordPress перейдите в раздел «Пользователи». Внимательно просмотрите всех пользователей, особенно тех, у кого есть роль «Администратор». Если вы видите какие-либо учетные записи администраторов, которые вы не узнаете или которые выглядят подозрительно (например, со странными адресами электронной почты), немедленно удалите их.
- Смените все пароли: В качестве меры предосторожности смените пароли для всех учетных записей администраторов и редакторов на вашем сайте. Также настоятельно рекомендуется сменить пароли от панели хостинга, FTP и базы данных.
- Запустите сканирование безопасности: Установите на свой сайт авторитетный плагин безопасности, такой как Wordfence или Sucuri Security, и выполните полное сканирование. Эти инструменты могут помочь вам обнаружить другие вредоносные файлы или изменения кода, которые могли быть пропущены, помимо `w-sam.php`.
Что говорит компания
После новостей ShapedPlugin выпустил заявление для своих клиентов. Компания подтвердила атаку и заявила, что немедленно выпустила чистые обновления для затронутых плагинов. Они настоятельно призвали своих клиентов обновить плагины до последней версии.
Компания также заявила, что начала расследование для определения первопричины этого нарушения безопасности и предпринимает шаги для усиления безопасности своей инфраструктуры, чтобы предотвратить подобные инциденты в будущем. Такие события являются серьезным испытанием для разработчиков программного обеспечения, как с технической, так и с репутационной точки зрения. Хотя быстрый выпуск чистых обновлений компанией является положительным шагом, потребуется время, чтобы вернуть доверие пользователей. Этот инцидент еще раз напоминает, что в цифровом мире не существует 100% безопасности, и даже самые надежные источники могут стать целью. Быть в курсе последних событий и Новости об утечках — лучший способ подготовиться к таким рискам.