数十个广泛使用的WordPress插件近日被发现存在后门代码，相关插件已从官方目录下线。安全人士称，这些后门被用于向依赖相关插件的网站推送恶意代码，而问题出现在插件被出售给新的企业所有者之后。

Anchor Hosting创始人 Austin Ginder 上周在一篇博客文章中披露，此次事件属于针对插件开发商 Essential Plugin 的一次供应链攻击。根据其描述，Essential Plugin 去年被一名未具名买家收购，随后后门被加入到该公司维护的多个插件源代码中。

Ginder 表示，这些后门代码在较长时间内处于休眠状态，直到本月初才被激活，开始向安装了相关插件的任何网站分发恶意代码。

根据 Essential Plugin 官网信息，该公司声称其插件累计安装量超过40万次，客户数量超过1.5万。WordPress 插件安装页面的数据显示，目前受影响插件仍活跃于超过2万个 WordPress 站点中。

WordPress 插件用于扩展基于该平台搭建的网站功能，但同时也获得了对安装环境的访问权限。Ginder 指出，这种权限结构在带来便利的同时，也可能为恶意扩展和安全风险打开通道。

Ginder 还提到，WordPress 用户在插件所有权发生变更时不会收到任何通知，这意味着当插件被出售给新所有者时，用户难以及时获知并评估潜在风险，从而可能暴露在接管式攻击之下。

据 Ginder 称，这是在短短几周内发现的第二起 WordPress 插件被劫持事件。安全研究人员长期以来一直警告，恶意行为者可能通过收购现有软件项目并修改其代码，在全球范围内大规模投放恶意软件。

目前，这些被发现存在后门的插件已从 WordPress 官方插件目录中移除，并被标注为“永久关闭”。Ginder 建议 WordPress 网站所有者主动检查站点中是否仍安装相关插件，并将其删除。他在博客文章中列出了受影响插件的具体清单。

报道指出，Essential Plugin 的代表尚未就此事回应置评请求。