Nguồn: Anchor.host
Tóm tắt
Một sự cố bảo mật nghiêm trọng được ghi nhận: một tác nhân ẩn danh đã mua lại quyền sở hữu khoảng 30 WordPress plugin hợp pháp từ các tác giả gốc, sau đó cài backdoor vào toàn bộ và phát tán qua cơ chế update thông thường. Vì các plugin này đã có uy tín và lượng cài đặt lớn, người dùng không có lý do để nghi ngờ khi nhận update.
Backdoor được obfuscate và cho phép kẻ tấn công kiểm soát toàn bộ website: tạo tài khoản admin ẩn, chèn nội dung spam hoặc mã độc, redirect visitor sang trang độc hại, và đánh cắp dữ liệu nhạy cảm. Một số plugin bị ảnh hưởng có hàng chục nghìn active installs, khuếch đại thiệt hại tiềm năng theo cấp số nhân.
Đây là ví dụ điển hình của software supply chain attack — thay vì tấn công từng website riêng lẻ, kẻ tấn công nhắm vào cơ chế phân phối (plugin updates) để tiếp cận hàng nghìn site cùng lúc. Dạng tấn công này cực kỳ khó phòng thủ vì nó khai thác lòng tin đã được xây dựng. Các hệ sinh thái khác như npm, PyPI đã từng bị tấn công tương tự.
Khuyến nghị cho site owner: kiểm tra danh sách plugin đã cài, tìm admin account lạ trong dashboard, scan malware bằng Wordfence hoặc Sucuri, và tạm thời trì hoãn auto-update trong giai đoạn đang xác minh. Nên vô hiệu hóa các plugin không sử dụng thay vì chỉ deactivate.