Comunitatea WordPress se confrunta cu un incident de securitate de tip supply chain care a afectat ShapedPlugin, un producator cunoscut de pluginuri premium si gratuite pentru WordPress si WooCommerce.
Spre deosebire de o vulnerabilitate clasica in codul unui plugin, de aceasta data atacatorii au compromis chiar infrastructura de build si de distributie a producatorului si au injectat cod backdoor in versiunile Pro livrate prin canalul oficial de actualizare. Incidentul este urmarit prin codurile CVE-2026-10735, cu scor CVSS de 9.8, si CVE-2026-49777, specific pluginului Product Slider Pro, cu scorul maxim de 10.0. Compromiterea a fost confirmata de cercetatorii de la Wordfence, dupa ce acestia au descarcat pachete infectate direct de pe serverul oficial al producatorului.
Au fost afectate doar versiunile Pro, platite, distribuite prin platforma comerciala a producatorului, in timp ce versiunile gratuite de pe WordPress.org nu sunt vizate. Cele trei produse compromise sunt Product Slider Pro pentru WooCommerce, Real Testimonials Pro si Smart Post Show Pro. Codul rau intentionat a fost introdus in jurul datei de 21 mai 2026, iar primele semnalari din partea clientilor au aparut pe 10 iunie. Pachetele infectate contineau un incarcator care se activa atunci cand un administrator accesa panoul WordPress: acesta contacta un server extern, descarca o a doua componenta si o instala sub forma unui plugin ascuns, dupa care se autosterge pentru a evita detectarea. Backdoor-ul fura credentiale de administrator, parole de baza de date, secrete pentru autentificarea in doi pasi si date din WooCommerce, si creeaza un cont de administrator ascuns, oferind atacatorilor control complet asupra site-ului.
Producatorul a confirmat incidentul si a publicat versiuni curate ale pluginurilor afectate. Este important de retinut insa ca simpla actualizare a pluginului elimina doar incarcatorul initial, nu si backdoor-ul deja instalat, care ramane independent pe server si supravietuieste stergerii sau actualizarii pluginului. Din acest motiv, oricine a instalat sau a actualizat una dintre versiunile Pro afectate intre aprilie si iunie 2026 ar trebui sa considere ca site-ul a fost compromis si sa efectueze o curatare completa: scanarea fisierelor, eliminarea pluginurilor si a conturilor de administrator necunoscute, schimbarea tuturor parolelor (WordPress, baza de date, FTP, panou de hosting), regenerarea cheilor de securitate si revocarea secretelor de autentificare in doi pasi.
Noi, echipa Gazduire.Net, am luat la cunostinta de acest incident si facem tot ce tine de noi la nivel de infrastructura, prin solutiile de protectie pe care le folosim in mod curent, precum Imunify si LiteSpeed, inclusiv prin scanarea automata a fisierelor, care poate ajuta la identificarea componentelor suspecte. Trebuie insa subliniat ca gazduim zeci de mii de site-uri WordPress, iar verificarea pluginurilor instalate, actualizarea lor la versiuni curate si curatarea efectiva a unui site afectat raman responsabilitatea proprietarului sau a administratorului fiecarui site. Le recomandam clientilor care folosesc pluginuri ShapedPlugin Pro sa verifice cat mai repede situatia.
Incidentul arata ca un canal de actualizare considerat de incredere poate deveni el insusi o cale de atac, iar bunele practici obisnuite, cum ar fi pastrarea pluginurilor la zi prin surse oficiale, nu mai sunt intotdeauna suficiente in fata unui atac de tip supply chain. Verificarea periodica a fisierelor, monitorizarea conturilor de administrator si copiile de siguranta raman masuri esentiale pentru orice site WordPress.
Categorii
- Noutati188
- Oferte5
- Tutoriale117
- Intrebari frecvente73