30+ WordPress插件后门曝光:PHP反序列化与以太坊智能合约C2
黑客通过Flippa平台收购了30多个热门WordPress插件,利用PHP反序列化技术嵌入隐蔽后门,并在八个月后激活,大规模传播SEO垃圾信息。其命令与控制(C2)服务器伪装在以太坊智能合约中,彻底规避了传统域名封禁手段。受影响的Essential Plugin(原WP Online Support)插件已于2026年4月7日从WordPress.org官方仓库下架。
后门如何被植入?
该后门首次出现在2025年8月新所有者提交的首个SVN版本中。在class-anylc-admin.php文件中,以兼容WordPress 6.8.2为名,新增了191行代码。关键组件包括:
fetch_ver_info()方法使用file_get_contents()从远程服务器获取数据,并调用@unserialize()进行反序列化。version_info_clean()方法可执行任意函数——函数名、参数和载荷均来自反序列化后的响应数据。- 一个REST API接口,权限回调设为
__return_true,无需任何身份验证即可访问。
这是一次典型的任意函数调用漏洞利用。后门静默潜伏八个月,默默积累安装量,以切断与原开发者之间的关联。
激活时间集中在2026年4月5日至6日:wpos-analytics模块从analytics.essentialplugin.com下载wp-comments-posts.php,并将恶意PHP代码注入wp-config.php。该载荷采用搜索引擎爬虫伪装技术——仅对Googlebot显示垃圾链接、跳转页面和虚假内容,普通用户访问时则完全正常。
借助以太坊实现抗封锁的C2架构
该后门并未硬编码域名或依赖DNS解析。相反,它通过公共以太坊RPC节点(如Infura、Alchemy)查询,并直接从智能合约中读取当前服务器地址。
此策略的权衡如下:
- 对攻击者有利: 仅需一次交易(约$3燃气费),即可更新所有受感染站点的域名。即使域名被封禁,合约仍永久存在于区块链上,无法清除。
- 对防御方不利: 所有交易公开透明,便于监控合约行为;在主机或WAF层面屏蔽RPC访问虽可行,但可能影响合法去中心化应用(dApp)的正常运行。
妥协点在于:去中心化特性使关闭更难,但同时也让链上分析成为检测的有效手段。
收购背景与历史脉络
该业务由Minesh Shah等人于2015年创立,后更名为Essential Plugin,运营30多个免费插件并提供付费升级服务。至2024年底,收入下降35%–45%,随后在Flippa平台挂牌出售。买家“Kris”具备丰富的SEO、加密货币及在线赌场领域经验,支付了数万美元高价购得。
类似模式早有先例:2017年,“Daley Tias”以1.5万美元收购拥有20万安装量的Display Widgets插件,并迅速引入垃圾内容。此后规模不断扩大,发展至如今覆盖30多个插件的复杂基础设施体系。
受影响插件完整清单
WordPress.org已于2026年4月7日移除全部受影响插件。请立即检查并卸载:
- 折叠面板与滑动折叠图
- 相册与图片画廊增强版轻量灯箱
- 音频播放器带歌单终极版
- 博客设计用于文章与小工具
- 倒计时定时器终极版
- 精选文章创意展示
- 页脚巨型网格列布局
- 英雄横幅终极版
- HTML5视频画廊增强播放器
- 元数据幻灯片与轮播图灯箱版
- 点击弹出任意内容
- 作品集与项目展示
- 文章分类图片带网格与滑动
- 文章网格与筛选终极版
- 网站预加载动画
- WooCommerce产品分类设计模板
- 响应式WP常见问题解答带分类(sp-faq)
- 滑动图包——全功能图像幻灯片集合
- SP新闻与小工具
- WP PageNavi样式扩展插件
- 无限滚动新闻条
- 时间线与历史滑动展示
- WooCommerce产品滑动与轮播图分类版
- WP博客与小工具
- WP精选内容与滑动展示
- WP品牌展示响应式滑动与轮播图
- WP响应式最新文章滑动图
- WP Slick滑动图与图片轮播图
- WP团队展示与滑动图
- WP客户评价带小工具
- WP热门文章滑动图与小工具
清理操作清单
强制更新(如2.6.9.1版本)仅添加了return;语句,wpos-analytics模块仍处于活跃状态。请立即采取行动:
wp plugin list --format=csv—— 核实插件作者是否为Essential Plugin或WP Online Support。- 删除并从可信源重新安装。
grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.php—— 检查是否存在可疑代码。grep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php—— 查找以太坊相关调用痕迹。stat wp-config.php—— 检查文件修改时间是否异常。- 审查日志:确认2026年3月至4月期间是否有对
analytics.essentialplugin.com的请求,以及以太坊RPC活动记录。 - 清理完成后,重新提交网站至Google Search Console。
核心要点:
- 后门存在于2025年8月之后发布的版本中——即使更新也无法彻底清除。
- 以太坊智能合约中的C2机制可绕过DNS封锁——需持续监控RPC调用行为。
- 恶意伪装仅针对Googlebot——普通用户访问时无异常表现。
- 供应链攻击通过Flippa平台快速扩散,缺乏尽职调查是关键风险。
- 生产环境必须执行代码差异对比与变更日志审计。
如何防范供应链攻击?
WordPress.org应推行维护者身份验证机制,并启用自动化SVN差异扫描。对中高级开发者建议:
- 自动化代码比对:若变更日志提及“兼容性”但新增191行以上代码,即为高危信号。
- WAF规则:拦截来自可疑端点的RPC请求。
- 监控机制:追踪链上合约交易记录及出站连接行为。
插件数量已从2017年的9个增长至如今的30多个。请立即审计您的站点安全状况。
— Editorial Team
暂无评论。