微新创想:2026年4月上旬,WordPress平台数十款原属Essential Plugin的插件被发现植入隐蔽后门,遭官方插件库永久下架。这些插件在去年被一家新企业收购后,其代码中被悄然植入了恶意组件。本月早些时候,这些恶意代码被激活,开始向已安装的站点分发潜在危害。
微新创想:据初步统计,受影响的插件总安装量超过40万次,当前已知影响约2万个活跃站点。这意味着大量WordPress用户可能在不知情的情况下,其网站的安全性受到了威胁。由于这些插件原本属于Essential Plugin,用户往往对插件的更新和所有权变更缺乏足够的关注。
微新创想:安全研究员奥斯汀·金德于上周发出警告,指出用户无法获知插件所有权变更,从而面临供应链攻击的风险。这类攻击通常通过第三方插件的更新或安装,将恶意代码引入用户系统,进而对网站安全造成严重隐患。
微新创想:专家建议所有WordPress站点管理员立即核查是否安装了相关插件,并在确认后迅速卸载。同时,应关注插件的更新日志和开发者信息,确保其来源可靠。对于已经受到影响的站点,建议进行全面的安全检测,以防止潜在的数据泄露或系统被入侵。
微新创想:此次事件再次提醒用户,插件的安全性不容忽视。在选择和使用插件时,应保持警惕,定期检查插件的更新情况和开发者信誉。此外,建议用户在安装任何插件前,仔细阅读其说明文档,并评估其对网站安全的潜在影响。