Механизм обновлений популярного плагина Smart Slider 3 Pro, используемого в WordPress (и поддерживаемого тем же вендором для Joomla), был скомпрометирован неизвестными злоумышленниками. В течение нескольких часов через официальный канал распространялась вредоносная версия плагина, содержащая полнофункциональный backdoor и инструменты для скрытого захвата управления сайтом.
Что произошло с обновлением Smart Slider 3 Pro
По данным компании Patchstack, специализирующейся на безопасности WordPress, атака затронула версию Smart Slider 3 Pro 3.5.1.35 для WordPress. Это коммерческая редакция одного из самых популярных слайдеров, который суммарно (бесплатная и Pro-версии) установлен более чем на 800 000 сайтов.
Разработчик плагина, компания Nextend, сообщил, что неавторизованная сторона получила доступ к инфраструктуре обновлений и разместила там полностью вредоносную сборку Pro-версии 3.5.1.35. Заражённое обновление оставалось доступным около шести часов — с момента релиза 7 апреля 2026 года до обнаружения и удаления.
Важно подчеркнуть, что бесплатная версия Smart Slider 3 для WordPress не пострадала. Компрометация коснулась только платной редакции Pro, распространяемой через инфраструктуру Nextend. Чтобы локализовать инцидент, разработчик временно отключил серверы обновлений и инициировал внутреннее расследование.
Функционал вредоносной версии: не просто веб-шелл, а полноценный toolkit
Внедрённый в Smart Slider 3 Pro 3.5.1.35 вредоносный код представлял собой многоступенчатый набор инструментов удалённого администрирования (RAT), ориентированный на постоянный и скрытный контроль над сайтом. По данным анализа Patchstack, доминируют следующие возможности:
Создание скрытых администраторских аккаунтов
Backdoor может автоматически создавать новые учётные записи с правами администратора. Это позволяет злоумышленникам сохранять доступ к панели управления WordPress даже после обновления плагина или удаления части вредоносного кода.
Удалённое выполнение системных команд и PHP-кода
Заражённая сборка содержит механизмы для:
— выполнения системных команд сервера через специально сформированные HTTP-заголовки;
— запуска произвольного PHP-кода, передаваемого в скрытых параметрах запросов.
Такая архитектура делает backdoor крайне гибким: оператор может использовать сайт как точку опоры в дальнейшей атаке, разворачивать дополнительный вредоносный софт, проводить lateral movement внутри инфраструктуры и эксплуатировать ресурс в интересах преступников (фишинг, рассылка спама, хранение вредоносных файлов и др.).
Многоуровневая устойчивость и сбор учётных данных
Patchstack отмечает, что вредоносный модуль реализован в несколько стадий, каждая из которых отвечает за устойчивость и сохранение доступа. Используются:
— несколько независимых «точек входа» в код плагина, что усложняет полное удаление;
— механизмы сокрытия созданных пользователей и активности в логах;
— устойчивые цепочки выполнения команд с резервными каналами;
— автоматическая регистрация на сервере управления (C2) с передачей украденных учётных данных и конфигурации сайта.
Таким образом, вредоносная версия Smart Slider 3 Pro выступала не просто как веб-шелл, а как многослойный набор persistence-инструментов, специально разработанный под экосистему WordPress.
Почему это опасно: классическая атака на цепочку поставок (supply chain attack)
С точки зрения кибербезопасности, инцидент со Smart Slider 3 Pro является типичным примером атаки на цепочку поставок. Злоумышленники не взламывают конкретный сайт напрямую — вместо этого они компрометируют доверенный компонент экосистемы: инфраструктуру обновлений плагина.
Как подчёркивает Patchstack, в подобных сценариях привычные защитные меры — WAF, проверки nonce, ролевые модели доступа — работают значительно хуже. Причина в том, что вредоносный код доставляется через полностью доверенный канал: администратор сам инициирует обновление, подписывает его действиями в панели и не получает видимых предупреждений. В итоге, как отмечают эксперты, «сам плагин становится вредоносной нагрузкой».
Схожие принципиальные подходы использовались в известных кампаниях против цепочек поставок — от атак на обновления ПО управления инфраструктурой до компрометации репозиториев библиотек. Сайты на WordPress не являются исключением: чем популярнее плагин, тем привлекательнее он как точка входа для злоумышленников.
Рекомендации владельцам сайтов на WordPress
Пользователям, которые могли установить Smart Slider 3 Pro версии 3.5.1.35, настоятельно рекомендуется немедленно обновить плагин до версии 3.5.1.36 или новее, выпущенной после инцидента. Однако простого обновления в случае полноценного backdoor-а недостаточно.
Практические шаги снижения риска для администраторов сайтов:
— выполнить полное сканирование сайта специализированными средствами безопасности для WordPress (включая проверку на web‑shell и несанкционированные изменения файлов);
— проверить список пользователей и удалить все подозрительные или неизвестные администраторские аккаунты;
— сменить пароли всех администраторов, а также доступы к хостингу, базе данных и панели управления; по возможности включить двухфакторную аутентификацию;
— проанализировать логи веб-сервера и системы управления контентом на предмет аномальной активности в период после установки версии 3.5.1.35;
— при наличии признаков более глубокой компрометации рассмотреть перенос сайта на «чистый» хостинг с восстановлением из проверенных резервных копий.
Этот инцидент ещё раз демонстрирует, что безопасность сайтов на WordPress и других CMS не ограничивается установкой «надёжных» плагинов и регулярным обновлением. Необходимо выстраивать многоуровневую защиту: использовать дополнительные средства мониторинга целостности, ограничивать количество установленных расширений, регулярно проводить аудит прав доступа и следить за сообщениями вендоров о возможных инцидентах. Осознанное управление обновлениями и проверка цепочки доверия к сторонним компонентам становятся критически важными элементами защиты любой веб-инфраструктуры.
