WordPress插件套件被黑，千站遭恶意软件

EssentialPlugin数据包中超过30个WordPress插件已被植入恶意代码，可对运行这些插件的站点进行未授权访问。

2025年初，一个名为”Essential Plugin”（前身为WP Online Support）的WordPress插件开发团队将其 portfolio 出售给新所有者”Kris”。新所有者随后在插件中注入了后门恶意代码，并在2025年8月左右发布恶意更新。这些更新一直处于潜伏状态，直到2026年4月才被激活，对数千个网站造成影响。

2026年4月7日，WordPress.org插件团队永久关闭了与该作者相关的所有31个插件，以防止进一步传播恶意软件。安全研究人员建议，所有使用过”Essential Plugin”或”WP Online Support”插件的网站管理员应立即移除这些插件，全面扫描网站是否存在恶意代码，并更新wp-config.php文件及所有安全凭证。

这起事件凸显了供应链攻击的重大风险——攻击者通过购买信誉良好的插件来注入恶意代码，往往能绕过WordPress仓库的初步安全检查。