Пользователям WordPress рекомендовали проверить установленные расширения после выявления уязвимости сразу в ряде популярных плагинов. Речь идёт о десятках дополнений, в код которых был внедрён бэкдор.
По информации основателя Anchor Hosting Остина Гиндера, проблема связана с продуктами разработчика Essential Plugin. После смены владельца в их исходный код добавили скрытый механизм, позволяющий загружать вредоносный контент на сайты.
На протяжении нескольких месяцев уязвимость не проявляла себя. Активность была зафиксирована лишь в начале апреля 2026 года, когда заражённые плагины начали использоваться для распространения вредоносного кода.
Масштаб инцидента оценивается как значительный. По данным разработчика, общее число установок превышало 400 тысяч, а количество клиентов — более 15 тысяч. При этом, согласно информации из каталога WordPress, затронутые расширения применялись на десятках тысяч активных сайтов.
После выявления угрозы платформа присвоила этим плагинам статус permanent closure, что означает их полное удаление из каталога без возможности восстановления.
Эксперты обращают внимание на характер произошедшего. Ситуация рассматривается как пример компрометации цепочки поставок, когда изначально безопасный продукт становится источником угрозы после смены владельца и внесения изменений в код.
Отдельно отмечается, что WordPress не информирует администраторов сайтов о переходе прав на плагины к новым владельцам. По данным профильных источников, вредоносный код был внедрён ещё в августе 2025 года и оставался неактивным около восьми месяцев.