В июне 2026 года Wordfence зафиксировал целенаправленную атаку на инфраструктуру ShapedPlugin — поставщика коммерческих плагинов для WordPress. Злоумышленники получили доступ к каналу распространения обновлений и внедрили вредоносный код сразу в три премиум-продукта. Версии на не пострадали, но платные расширения, которые скачивались и обновлялись через account.shapedplugin[.]com, оказались скомпрометированы. ShapedPlugin официально подтвердили факт взлома и пообещали после аудита безопасности и полного тестирования выпустить исправленные сборки.
Под удар попали три плагина: Product Slider Pro for WooCommerce версии 5.4, Real Testimonials Pro версии 3.2.5 и Smart Post Show Pro всех версий ниже 4.0.2. Уязвимости получили идентификаторы CVE-2026-49777 (CVSS 10.0, присвоена именно атаке на Product Slider Pro) и CVE-2026-10735 (CVSS 9.8, охватывает весь инцидент в целом). По шкале CVSS это максимально возможный уровень критичности.
Изучение вредоносного кода показало типичную для современных атак двухэтапную схему. Первая ступень — «загрузчик», который срабатывает при каждом открытии любой страницы wp-admin. Он обращается к командному серверу 194.76.217[.]28 на порту 2871, получает оттуда полезную нагрузку и устанавливает её как фальшивый плагин. После установки загрузчик удаляет сам себя, а его преемник прячется из списка плагинов в админке. Такой подход резко усложняет реагирование: даже после удаления видимых следов малварь продолжает жить в фоне.
Вторая ступень ведёт себя нагло и многофункционально. Она ворует пароли пользователей в открытом виде и перехватывает одноразовые коды двухфакторной аутентификации. Для закрепления в системе вредонос регистрирует собственный REST-эндпоинт, позволяющий записать произвольный файл при предъявлении специального токена. Дополнительно на сервер сбрасывается веб-шелл с возможностью выполнения команд.
Отдельный модуль под названием install-persistent.php собирает и отправляет наружу всё самое ценное. Скрипт сливает полное содержимое wp-config.php — то есть логины и пароли от базы данных, ключи аутентификации WordPress, параметры отладки. Параллельно на сторону уходят данные всех учётных записей с правами администратора (с датами регистрации), учётные данные SMTP из плагинов WP Mail SMTP, Post SMTP и Easy WP SMTP, а также информация о заказах WooCommerce за последние три месяца с разбивкой по способам оплаты. После выполнения скрипт просто удаляет сам себя.
Аналитики Wordfence считают наиболее вероятной версию компрометации сборочного конвейера, а не прямую подмену исходного кода. Это меняет модель угроз: даже если разработчик отправил «чистый» релиз, подпись сборки могла быть подменена ещё до публикации.
Что делать владельцам сайтов прямо сейчас
Список неотложных мер выглядит внушительно, и сокращать его нельзя. Пока ShapedPlugin не выпустил исправления, главная рекомендация — дождаться патчей и обновиться сразу после их появления, не задерживаясь ни на день. После обновления нужно сбросить все пароли без исключения: администраторов, редакторов, базы данных, FTP, панели хостинга. Затем — отозвать и перегенерировать секреты двухфакторной аутентификации у всех пользователей, потому что одноразовые коды уже могли быть перехвачены.
Дальше — аудит учётных записей с правами администратора на предмет появления неизвестных лиц. Проверка настроек почтовых плагинов на предмет изменения SMTP-реквизитов. Регенерация ключей и солей WordPress из wp-config.php — они утекли целиком вместе с конфигурацией. Полное сканирование файловой системы на предмет сторонних файлов и веб-шеллов, проверка целостности самого wp-config.php. И наконец разбор логов: любые соединения с адресом 194.76.217.28:2871 или подозрительные POST-запросы к REST API — красный флаг, требующий немедленного реагирования.
Почему это важно шире, чем три плагина
Инцидент в ShapedPlugin показывает слабое место всей экосистемы WordPress: даже популярный и проверенный временем поставщик может оказаться узким звеном в цепочке поставок, где атакующему достаточно одного билда, чтобы получить доступ сразу к десяткам тысяч сайтов. Компрометация сборочного конвейера опаснее уязвимости в коде — она бьёт по тем, кто платит за качество и доверяет обновлениям. До выхода официальных патчей единственной рабочей мерой остаётся ручное блокирование доступа к account.shapedplugin[.]com и приостановка обновлений скомпрометированных плагинов на уровне файрвола или wp-config.
Под удар попали три плагина: Product Slider Pro for WooCommerce версии 5.4, Real Testimonials Pro версии 3.2.5 и Smart Post Show Pro всех версий ниже 4.0.2. Уязвимости получили идентификаторы CVE-2026-49777 (CVSS 10.0, присвоена именно атаке на Product Slider Pro) и CVE-2026-10735 (CVSS 9.8, охватывает весь инцидент в целом). По шкале CVSS это максимально возможный уровень критичности.
Изучение вредоносного кода показало типичную для современных атак двухэтапную схему. Первая ступень — «загрузчик», который срабатывает при каждом открытии любой страницы wp-admin. Он обращается к командному серверу 194.76.217[.]28 на порту 2871, получает оттуда полезную нагрузку и устанавливает её как фальшивый плагин. После установки загрузчик удаляет сам себя, а его преемник прячется из списка плагинов в админке. Такой подход резко усложняет реагирование: даже после удаления видимых следов малварь продолжает жить в фоне.
Вторая ступень ведёт себя нагло и многофункционально. Она ворует пароли пользователей в открытом виде и перехватывает одноразовые коды двухфакторной аутентификации. Для закрепления в системе вредонос регистрирует собственный REST-эндпоинт, позволяющий записать произвольный файл при предъявлении специального токена. Дополнительно на сервер сбрасывается веб-шелл с возможностью выполнения команд.
Отдельный модуль под названием install-persistent.php собирает и отправляет наружу всё самое ценное. Скрипт сливает полное содержимое wp-config.php — то есть логины и пароли от базы данных, ключи аутентификации WordPress, параметры отладки. Параллельно на сторону уходят данные всех учётных записей с правами администратора (с датами регистрации), учётные данные SMTP из плагинов WP Mail SMTP, Post SMTP и Easy WP SMTP, а также информация о заказах WooCommerce за последние три месяца с разбивкой по способам оплаты. После выполнения скрипт просто удаляет сам себя.
Аналитики Wordfence считают наиболее вероятной версию компрометации сборочного конвейера, а не прямую подмену исходного кода. Это меняет модель угроз: даже если разработчик отправил «чистый» релиз, подпись сборки могла быть подменена ещё до публикации.
Что делать владельцам сайтов прямо сейчас
Список неотложных мер выглядит внушительно, и сокращать его нельзя. Пока ShapedPlugin не выпустил исправления, главная рекомендация — дождаться патчей и обновиться сразу после их появления, не задерживаясь ни на день. После обновления нужно сбросить все пароли без исключения: администраторов, редакторов, базы данных, FTP, панели хостинга. Затем — отозвать и перегенерировать секреты двухфакторной аутентификации у всех пользователей, потому что одноразовые коды уже могли быть перехвачены.
Дальше — аудит учётных записей с правами администратора на предмет появления неизвестных лиц. Проверка настроек почтовых плагинов на предмет изменения SMTP-реквизитов. Регенерация ключей и солей WordPress из wp-config.php — они утекли целиком вместе с конфигурацией. Полное сканирование файловой системы на предмет сторонних файлов и веб-шеллов, проверка целостности самого wp-config.php. И наконец разбор логов: любые соединения с адресом 194.76.217.28:2871 или подозрительные POST-запросы к REST API — красный флаг, требующий немедленного реагирования.
Почему это важно шире, чем три плагина
Инцидент в ShapedPlugin показывает слабое место всей экосистемы WordPress: даже популярный и проверенный временем поставщик может оказаться узким звеном в цепочке поставок, где атакующему достаточно одного билда, чтобы получить доступ сразу к десяткам тысяч сайтов. Компрометация сборочного конвейера опаснее уязвимости в коде — она бьёт по тем, кто платит за качество и доверяет обновлениям. До выхода официальных патчей единственной рабочей мерой остаётся ручное блокирование доступа к account.shapedplugin[.]com и приостановка обновлений скомпрометированных плагинов на уровне файрвола или wp-config.