Backdoor v 30+ WordPress pluginech: PHP deserializace a C2 v Ethereum kontraktu
Hacker zakoupil více než 30 populárních WordPress pluginů přes trh Flippa, vložil skrytý backdoor založený na PHP deserializaci a aktivoval jej po osmi měsících pro šíření SEO spamu. Command and control (C2) server je maskován ve smart kontraktu Ethereum, což ho činí odolným vůči běžným blokacím domén. Infikované pluginy od autora Essential Plugin (bývalý WP Online Support) byly uzavřeny na WordPress.org 7. dubna 2026.
Mechanismus vložení backdooru
Backdoor se objevil v prvním SVN commitu nového majitele v srpnu 2025. V souboru class-anylc-admin.php bylo přidáno 191 řádků kódu pod nálepku kontroly kompatibility s WordPress 6.8.2. Klíčové komponenty:
- Metoda
fetch_ver_info()načítá data z vzdáleného serveru prostřednictvímfile_get_contents()a používá@unserialize(). - Metoda
version_info_clean()spouští libovolnou funkci: název, argumenty i data pocházejí z deserializované odpovědi. - REST API endpoint s
permission_callback: __return_true— bez ověření přístupu.
Jedná se o klasický arbitrary function call. Backdoor spal osm měsíců, shromažďoval instalace, aby přerušil spojení s výměnou majitele.
Aktivace nastala 5.–6. dubna 2026: modul wpos-analytics stáhl wp-comments-posts.php z analytics.essentialplugin.com a vložil PHP blok do wp-config.php. Užitečná zátěž – cloaking pro Googlebot: spamové odkazy, přesměrování a falešné stránky jsou viditelné pouze pro vyhledávačové robota.
Odolný C2 prostřednictvím Ethereum
Doména C2 není pevně zakódována ani nepoužívá DNS. Backdoor požaduje veřejné Ethereum RPC (Infura, Alchemy) a čte aktuální adresu serveru ze smart kontraktu.
Výhody a nevýhody této schématu:
- Pro útočníka: Jedna transakce (~$3 za gas) změní doménu pro všechny infikované systémy. Zrušení domény je zbytečné – kontrakt je navždy v blockchainu.
- Pro oběť: Transakce jsou veřejné, sledování kontraktu je možné. Blokování RPC na hostingu/WAF je efektivní, ale postihuje i legální dApp.
Kompromis: decentralizace ztíží deaktivaci, ale usnadňuje detekci prostřednictvím on-chain analýzy.
Příběh nákupu a historie
Podnik z roku 2015 (Minesh Shah et al.) byl rebranded na Essential Plugin, měl více než 30 zdarma dostupných pluginů s premium verzí. Tržby klesly o 35–45 % do konce roku 2024 a byly nabídnuty na Flippa. Koupil je „Kris“ s zkušenostmi v SEO, kryptoměnách a online kasinech za šestimístnou částku.
Podobný vzor: v roce 2017 si „Daley Tias“ koupil Display Widgets (200 tis. instalací) za 15 tis. USD a vložil spam. Rozsah se rozrostl na více než 30 pluginů s pokročilou infrastrukturou.
Úplný seznam infikovaných pluginů
WordPress.org je uzavřel 7. dubna 2026. Okamžitě zkontrolujte a odstraňte:
- Accordion and Accordion Slider
- Album and Image Gallery Plus Lightbox
- Audio Player with Playlist Ultimate
- Blog Designer for Post and Widget
- Countdown Timer Ultimate
- Featured Post Creative
- Footer Mega Grid Columns
- Hero Banner Ultimate
- HTML5 VideoGallery Plus Player
- Meta Slider and Carousel with Lightbox
- Popup Anything on Click
- Portfolio and Projects
- Post Category Image with Grid and Slider
- Post Grid and Filter Ultimate
- Preloader for Website
- Product Categories Designs for WooCommerce
- Responsive WP FAQ with Category (sp-faq)
- SlidersPack — All in One Image Sliders
- SP News And Widget
- Styles for WP PageNavi — Addon
- Ticker Ultimate
- Timeline and History Slider
- Woo Product Slider and Carousel with Category
- WP Blog and Widgets
- WP Featured Content and Slider
- WP Logo Showcase Responsive Slider and Carousel
- WP Responsive Recent Post Slider
- WP Slick Slider and Image Carousel
- WP Team Showcase and Slider
- WP Testimonial with Widget
- WP Trending Post Slider and Widget
Kontrolní seznam pro čištění
Povinné aktualizace (např. 2.6.9.1) přidaly jen return; – modul wpos-analytics zůstává. Postupujte:
wp plugin list --format=csv– porovnejte autory (Essential Plugin, WP Online Support).- Odstraňte/znovu nainstalujte z čistých zdrojů.
grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.phpgrep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php- Zkontrolujte
stat wp-config.php(mtime). - Logy:
analytics.essentialplugin.com, Ethereum RPC březen–duben 2026. - Search Console: znovu odeslat po čištění.
Důležité:
- Backdoor je v releasech po srpnu 2025 – kód zůstává i po aktualizaci.
- C2 v Ethereum kontraktu je odolný vůči blokaci DNS – sledujte RPC.
- Cloaking zasahuje pouze Googlebot – web vypadá čistě.
- Supply-chain útoky se šíří prostřednictvím Flippa bez due diligence.
- Audit rozdílu kódu proti changelogu je nutný pro produkční prostředí.
Ochrana proti supply-chain útokům
WordPress.org by měl implementovat verifikaci hlavních vývojářů a automatický diff SVN. Pro middle/senior vývojáře:
- Automatizujte kontrolu rozdílu: changelog „compatibility“ + 191 řádků = varování.
- WAF: blokovat RPC pro podezřelé endpointy.
- Monitorování: on-chain transakce kontraktu + odchozí spojení.
Rozsah se zvýšil: od 9 pluginů v roce 2017 k 30+. Zkontrolujte své weby okamžitě.
— Editorial Team
Zatím žádné komentáře.