Duizenden WordPress-websites verspreiden plots malware door plugins
Een grootschalige aanval via meer dan dertig WordPress‑plugins uit het EssentialPlugin‑pakket zorgde ervoor dat duizenden websites ongemerkt malware hebben verspreid (via BleepingComputer). De kwaadaardige code werd al in augustus 2025 in de plugins geplaatst, kort nadat het pakket door een nieuwe eigenaar was overgenomen. Pas maanden later werd dit achterpoortje geactiveerd via reguliere updates, waardoor besmette sites plots spamlinks en redirects begonnen te genereren.
De aanval werd ontdekt door Austin Ginder van Anchor Hosting, die na een tip een verdachte plugin onderzocht. Zijn analyse bracht aan het licht dat alle plugins uit het pakket dezelfde verborgen achterdeur bevatten. De malware downloadde een bestand dat zich voordeed als een legitieme WordPress‑component. Die injecteerde in werkelijkheid schadelijke code in wp‑config.php, een van de belangrijkste configuratiebestanden van WordPress. Dankzij slimme trucs bleef de aanval lange tijd onzichtbaar voor beheerders. Zo toonde het de spam alleen aan Googlebot, niet aan de site-eigenaars.
Impact is groot
Als je dan bedenkt dat EssentialPlugin bij honderdduizenden sites is geactiveerd, weet je dat de impact enorm is. De malware maakte bovendien gebruik van het Ethereum-benamingssysteem om de command‑and‑controlservers te verbergen. Dat maakt het moeilijker om de infrastructuur uit te schakelen. Afhankelijk van de instructies die de aanvallers doorgaven, konden besmette sites bezoekers doorsturen naar malafide pagina’s of spam.
Hieruit blijkt opnieuw dat website‑eigenaars vaak te veel vertrouwen stellen in plugins. Toen EssentialPlugin in 2025 een nieuwe eigenaar kreeg, ontvingen gebruikers daar geen melding of waarschuwing van. Daardoor konden de nieuwe beheerders wijzigingen doorvoeren in de code zonder dat iemand argwaan kreeg. Zo konden criminelen opnieuw legitieme software overnemen om die vervolgens te misbruiken.
WordPress.org reageerde snel door de getroffen plugins offline te halen en een geforceerde update uit te rollen die de communicatie met de kwaadaardige servers blokkeert. Toch waarschuwen beveiligingsexperts dat deze maatregel niet voldoende is. Het configuratiebestand wp‑config.php blijft namelijk onveranderd en kan nog steeds schadelijke code bevatten. Bovendien kan de malware nog verborgen zitten in andere bestanden.
