В сообществе WordPress разгорается новый скандал: более 30 плагинов оказались скомпрометированы после скрытой атаки, которая оставалась незамеченной восемь месяцев. Инцидент вновь поставил под сомнение безопасность экосистемы плагинов и ускорил обсуждение альтернативных платформ, включая новый проект Cloudflare под названием Mdash.
Как произошёл взлом
Недавняя массовая атака на плагины WordPress оказалась не результатом уязвимости в коде. Злоумышленник просто выкупил портфель плагинов у оригинального разработчика на платформе Flippa — сумма сделки оценивается в середине шестизначного диапазона.
Получив полный контроль, новый владелец вставил в плагины скрытую закладку. Около восьми месяцев она находилась в боевой среде в пассивном состоянии, а затем активировалась. После активации вредоносный код:
- подключался к удалённому серверу;
- загружал дополнительные вредоносные нагрузки;
- в ряде случаев модифицировал критически важные файлы, включая wp-config.php, содержащий данные о базе данных и ключи безопасности.
Особенность атаки заключалась в том, что домен управления и контроля разрешался через смарт‑контракт Ethereum, позволяя злоумышленнику быстро менять адрес на новый. Всё это происходило в рамках обычного обновления плагина, поступавшего из доверенного источника — что фактически скрывало кибератаку под видом стандартного обслуживания.
После обнаружения проблемы WordPress удалил вредоносные плагины из хранилища, но на многих сайтах закладка успела сработать.
Почему архитектура плагинов WordPress уязвима
Основная проблема в том, что плагин WordPress — это PHP‑скрипт, который получает практически полный доступ к сайту: базе данных, файловой системе и конфигурации. Система не предусматривает изоляции или песочницы. Пользователь вынужден доверять стороннему разработчику без каких‑либо гарантий безопасности.
По оценкам специалистов, до 96% уязвимостей WordPress связаны именно с архитектурой плагинов.
Конфликты внутри экосистемы
Помимо технических проблем, WordPress переживает и внутренние разногласия. Основатель проекта Мэтт Мулленвег вступил в конфликт с WP Engine, принадлежащей частному инвестиционному фонду Silver Lake, требуя 8% от их выручки за использование бренда WordPress. Спор перерос в публичные заявления, после чего WP Engine подала иск о клевете. Разбирательства продолжаются до сих пор.
Mdash: попытка переосмыслить WordPress
На фоне волнений Cloudflare представила проект Mdash — попытку создать совместимую альтернативу WordPress, но без его архитектурных проблем. Проект:
- не использует оригинальный код WordPress и распространяется под лицензией MIT;
- повторяет API WordPress, обеспечивая совместимость;
- основан на платформе Astro;
- изолирует каждый плагин в собственном песочном окружении с динамическим воркером;
- предоставляет модулям только ограниченные, явно запрошенные разрешения.
Таким образом, Mdash прекращает практику неограниченного доступа плагинов ко всем данным сайта, что и стало ахиллесовой пятой оригинальной системы.
Будет ли Mdash заменой WordPress?
Эксперты сходятся во мнении, что WordPress вряд ли исчезнет в ближайшее время: платформа остаётся крупнейшей в мире, а её сообщество огромно. Однако появление проектов вроде Mdash показывает, насколько быстро современные инструменты разработки — включая ИИ‑системы — позволяют создавать функциональные альтернативы устоявшимся фреймворкам.
Заключение
Недавняя атака стала одним из самых показательных примеров компрометации цепочки поставок. Она подтвердила слабые места экосистемы WordPress и дала новый импульс обсуждению более безопасных архитектур. Удастся ли Mdash или другим альтернативам изменить баланс сил — покажет время.
На основе Millions of WordPress sites just got hacked... again