Mais de 30 plugins do **WordPress** no pacote **EssentialPlugin** foram comprometidos com código malicioso, permitindo acesso não autorizado a sites que os utilizam. Um ator malicioso introduziu o código da backdoor no ano passado, mas só recentemente começou a distribuí-lo aos usuários por meio de atualizações, gerando páginas de spam e redirecionamentos com base em instruções de um servidor de comando e controle (C2). O comprometimento afeta plugins com centenas de milhares de instalações ativas e foi descoberto por **Austin Ginder**, fundador da provedora de hospedagem gerenciada **WordPress** **Anchor Hosting**, após receber uma dica sobre um add-on contendo código que permitia acesso de terceiros. Investigações adicionais por **Ginder** revelaram que uma backdoor estava presente em todos os plugins do pacote **EssentialPlugin** desde agosto de 2025, após a aquisição do projeto por um novo proprietário em um acordo de seis dígitos. A **EssentialPlugin**, estabelecida em 2015 como WP Online Support e renomeada em 2021, é uma empresa de desenvolvimento **WordPress** que oferece sliders, galerias, ferramentas de marketing, extensões **WooCommerce**, utilitários de SEO/análise e temas. De acordo com **Ginder**, a backdoor permaneceu inativa até recentemente, quando contatou silenciosamente infraestrutura externa para buscar um arquivo ('wp-comments-posts.php') que injeta **malware** em 'wp-config.php'. O **malware** baixado foi projetado para ser invisível aos proprietários do site e usa resolução de endereço C2 baseada em Ethereum para evasão. Dependendo das instruções recebidas, o **malware** pode recuperar "links de spam, redirecionamentos e páginas falsas". "O código injetado era sofisticado. Ele buscava links de spam, redirecionamentos e páginas falsas de um servidor de comando e controle. Ele só mostrava o spam para o **Googlebot**, tornando-o invisível para os proprietários do site", [explicou Ginder](https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/). Análises da plataforma de segurança **WordPress** **PatchStack** [mostram](http://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/) que a backdoor só funcionava se o endpoint 'analytics.essentialplugin.com' retornasse com conteúdo serializado malicioso. ### Ação do WordPress e Status de Infecção O WordPress.org respondeu rapidamente aos relatos de atividade maliciosa, fechando os plugins e enviando uma atualização forçada para os sites para neutralizar a comunicação da backdoor e desabilitar seu caminho de execução. No entanto, os desenvolvedores alertaram que a ação não limpou o arquivo de configuração principal wp-config, que conecta os sites aos seus bancos de dados e inclui configurações críticas. A Equipe de Plugins do WordPress.org também alertou os administradores de sites que executam um produto **EssentialPlugin** que, embora um local conhecido para a backdoor seja um arquivo chamado `wp-comments-posts.php`, que se assemelha ao legítimo `wp-comments-post.php`, o **malware** também pode se esconder em outros arquivos. O **BleepingComputer** contatou a **EssentialPlugins** para comentar sobre o commit malicioso relatado que ocorreu após a aquisição, mas não recebeu resposta até o momento da publicação.