Több mint harminc, széles körben használt WordPress-bővítmény került veszélybe az EssentialPlugin (korábban WP Online Support) csomagban, miután rosszindulatú kódot találtak bennük, amely jogosulatlan hozzáférést biztosít weboldalakhoz. A backdoor-t már egy évvel korábban elhelyezték, azonban csak nemrégiben aktiválták, és frissítéseken keresztül juttatták el a felhasználókhoz. A fertőzött rendszerek egy vezérlő és irányítószerverhez (C2) kapcsolódtak, ahonnan utasításokat kaphattak spam oldalak létrehozására, illetve átirányítások végrehajtására.

A biztonsági incidenst Austin Ginder, egy WordPress tárhelyszolgáltató vezetője tárta fel, aki egy gyanús bővítmény elemzése után jutott el a teljes csomagot érintő problémához. Vizsgálatai szerint a backdoor 2025 augusztusa óta volt jelen minden érintett bővítményben, nem sokkal onnantól, hogy a projekt új tulajdonoshoz került. A kártevő sokáig inaktív maradhatott, majd aktiválását követően külső infrastruktúrával lépett kapcsolatba, és egy C2 szerverről tölthetett le további komponenseket, köztük egy fájlt, amely a weboldalak alap konfigurációs állományába injektálhatott kártékony kódot. A kommunikáció elrejtésére Ethereum-alapú címfeloldást használt, így nehezítve a felderítést és a blokkolást.

A WordPress.org gyors intézkedéseket hozott:

• eltávolította az érintett bővítményeket
• kényszerített frissítésekkel blokkolta a kártékony C2 kommunikációt
• letiltotta a backdoor működését

Ugyanakkor a szakértők figyelmeztetnek, hogy ez nem jelenti a teljes fertőzés megszüntetését, mivel a kritikus konfigurációs fájlok továbbra is kompromittálva lehetnek. A rendszerüzemeltetőknek ezért alapos ellenőrzést és manuális tisztítást javasolnak, különös tekintettel azokra a fájlokra és folyamatokra, amelyek külső szerverekkel kommunikálhatnak.