IT之家4月15日消息，据Techcrunch报道，热门开源网页博客软件WordPress的数十款插件现已下线，原因是这些插件中被发现存在后门程序，该后门可向所有使用这些插件的网站推送恶意代码。这一后门是在这些插件被新的企业方收购后被发现的。

IT之家注意到，网络托管服务商Anchor Hosting创始人奥斯汀.金德(Austin Ginder)上周在一篇博文中发出警告，称针对WordPress插件开发商Essential（WTRG） Plugin发生了一起供应链攻击。金德表示，去年有人收购了Essential（WTRG） Plugin，此后不久，插件源代码中就被植入了后门。该后门在此前一直处于休眠状态，直到本月早些时候被激活，并开始向所有安装了相关插件的网站分发恶意代码。

Essential（WTRG） Plugin在其官网称，旗下插件安装量超过40万次，拥有超过1.5万名客户。而WordPress插件安装页面显示，受影响的插件正被用于超过2万个活跃的WordPress站点。

插件能让基于WordPress的网站站长扩展网站功能，但这也意味着插件会获得网站的访问权限，可能使这些网站面临恶意扩展程序的威胁，甚至被入侵。但金德警告称，WordPress用户并不会收到插件所有权变更的通知，这使得用户可能面临被新插件所有者接管攻击的风险。

据金德介绍，这是短短两周内发现的第二起WordPress插件遭劫持事件。安全研究人员长期以来一直警告：恶意行为者通过收购软件并篡改代码，进而入侵全球大量计算机，这类风险一直存在。

尽管相关插件已从WordPress官方插件库下架，并标注为永久下线，金德仍提醒WordPress站长检查自己是否仍安装了这些恶意插件，并立即删除。金德在博文中列出了受影响插件的完整清单。