2026 年 6 月 12 日,全球 WordPress 生态遭遇了一场典型的两步跳供应链攻击:攻击者先利用营销服务器上第三方插件 UpdraftPlus 的已知漏洞入侵,窃取存储于该服务器的 CDN API 密钥,随后通过 CDN 直接向 OptinMonster(100 万+ 活跃安装)、TrustPulse、PushEngage 三款插件的 JS 文件注入恶意代码,全球数百万 WordPress 站点在约数小时暴露窗口内受影响。
恶意 JS 在管理员登录态下激活,创建隐藏管理员账户、部署 Web Shell 外泄站点凭证,后门伪装成 "Content Delivery Helper" 等正常插件名称。
这次事件最值得拆解的失误是:营销服务器(非核心业务)上存储了拥有 CDN 写入权限的 API 密钥。攻击成本极低——找一个漏洞插件,就能撬动百万量级的下游。
官方公告的那句话值得每个做企业安全的人贴在墙上:"Remediating our systems does not clean a site that was already compromised"——修复感染源不等于修复客户系统。
网络空间安全双高工
国内头部安全企业网络安全部副总经理
横跨甲乙方十余年实战经验,深耕软件安全,首创「研发安全运营架构与实践」方法论。BCS2025企业安全防护与运营一体化出品人,持续输出安全实战干货,助力安全从业者与企业少走弯路~
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)