Офіційний механізм оновлень популярного комерційного плагіна Smart Slider 3 Pro для WordPress був тимчасово скомпрометований, що дозволило невідомим зловмисникам розповсюджувати версію з вбудованим бекдором. Протягом кількох годин з легітимної інфраструктури постачальника поширювався повнофункціональний набір інструментів для прихоплення контролю над сайтами.
Компрометація Smart Slider 3 Pro: які версії постраждали
За інформацією компанії Patchstack, що спеціалізується на безпеці WordPress, атака торкнулася Smart Slider 3 Pro версії 3.5.1.35 для WordPress. Йдеться про платну редакцію одного з найпопулярніших слайдерів, який сумарно (безкоштовна і Pro-версії) встановлений більш ніж на 800 000 сайтів.
Розробник плагіна, компанія Nextend, повідомив, що неавторизована сторона отримала доступ до інфраструктури оновлень і розмістила там повністю шкідливу збірку Smart Slider 3 Pro 3.5.1.35. За оцінками, заражене оновлення залишалося доступним близько шести годин — з моменту релізу 7 квітня 2026 року до виявлення інциденту й видалення файлів.
Важливо, що безкоштовна версія Smart Slider 3 для WordPress не постраждала. Компрометація зачепила лише комерційну редакцію Pro, яка оновлюється через власну інфраструктуру Nextend. Щоб локалізувати подію, вендор тимчасово відключив сервери оновлень і запустив внутрішнє розслідування.
Можливості бекдору в Smart Slider 3 Pro: повноцінний toolkit для зламу сайту
Приховані облікові записи адміністраторів
Вбудований у Smart Slider 3 Pro 3.5.1.35 шкідливий модуль виконував роль багатоступеневого remote access toolkit (RAT), орієнтованого на стійке та непомітне утримання доступу до сайту. Один з ключових елементів функціоналу — автоматичне створення нових облікових записів із правами адміністратора, які можуть бути приховані від стандартних засобів перегляду користувачів.
Віддалене виконання системних команд і PHP-коду
За даними аналізу Patchstack, бекдор дозволяв:
— виконувати системні команди на сервері через спеціально сформовані HTTP‑заголовки;
— запускати довільний PHP-код, переданий у прихованих параметрах запитів.
Такий підхід робить заражений плагін універсальною точкою входу: зловмисники можуть розгортати додаткове шкідливе ПЗ, проводити lateral movement усередині інфраструктури хостингу, використовувати сайт для фішингу, розсилки спаму, хостингу шкідливих файлів або участі в ботнетах.
Стійкість, маскування та передача облікових даних
Бекдор реалізований у кілька послідовних стадій, які забезпечують стійкість і ускладнюють повне видалення. Використовуються:
— декілька незалежних «точок входу» в код плагіна, що знижує ефективність часткового очищення;
— механізми приховування створених користувачів і дій від стандартних логів;
— резервні ланцюжки виконання команд на випадок блокування окремих гачків або функцій;
— автоматична реєстрація на сервері керування (C2) з передачею вкрадених облікових даних і конфігурації сайту.
Отже, шкідлива версія Smart Slider 3 Pro працювала не як простий web‑shell, а як повноцінний набір persistence-інструментів, спеціально адаптований під екосистему WordPress.
Атака на ланцюг постачання: чому інцидент зі Smart Slider 3 Pro такий небезпечний
З погляду кібербезпеки цей інцидент є класичною атакаю на ланцюг постачання (supply chain attack). Зловмисники не атакують конкретний сайт безпосередньо, а компрометують довірений елемент екосистеми — у цьому випадку інфраструктуру оновлень плагіна Smart Slider 3 Pro.
У подібних сценаріях традиційні засоби захисту — WAF, перевірка nonce, контроль ролей і прав — працюють набагато гірше, адже вразливий або шкідливий код надходить через повністю довірений канал. Адміністратор сам ініціює оновлення з офіційного джерела, фактично «підписуючи» установку шкідливої збірки власними діями.
Це той самий клас ризиків, який раніше проявлявся в резонансних атаках на оновлення систем управління інфраструктурою, популярні бібліотеки в репозиторіях або утиліти для обслуговування ОС. З огляду на те, що WordPress використовує понад 40 % сайтів у мережі, а популярні плагіни встановлені на сотнях тисяч ресурсів, вони стають особливо привабливою ціллю для атак на ланцюг постачання.
Рекомендації для власників та адміністраторів WordPress-сайтів
Усім користувачам, які могли встановити Smart Slider 3 Pro версії 3.5.1.35, рекомендується негайно оновити плагін до версії 3.5.1.36 або новішої, випущеної після інциденту. Однак з огляду на наявність повнофункціонального бекдору, одного лише оновлення недостатньо.
Практичні кроки зниження ризиків для WordPress-сайтів:
— провести повне сканування сайту засобами безпеки для WordPress, включно з перевіркою на web‑shell, несанкціоновані зміни файлів і підозрілий PHP‑код;
— уважно перевірити список користувачів і видалити всі невідомі або підозрілі облікові записи з правами адміністратора;
— змінити паролі всіх адміністраторів, облікові дані хостингу, бази даних і панелі керування; за можливості ввімкнути двохфакторну автентифікацію для критичних облікових записів;
— проаналізувати логи веб‑сервера та CMS на предмет аномальної активності після встановлення версії 3.5.1.35 (невластиві запити, підозрілі IP, виконання нестандартних дій адміністраторами);
— за наявності ознак глибокішої компрометації розглянути міграцію сайту на «чисте» оточення з відновленням із перевірених резервних копій, створених до інсталяції зараженої версії.
Цей інцидент ще раз підтверджує, що безпека сайтів на WordPress та інших CMS не зводиться до вибору «надійних» плагінів і формального оновлення до останньої версії. Необхідно будувати багаторівневу модель захисту: мінімізувати кількість встановлених розширень, регулярно проводити аудит прав доступу, використовувати моніторинг цілісності файлів, стежити за повідомленнями вендорів і спільноти про інциденти безпеки. Усвідомлене керування оновленнями та критичний підхід до ланцюга довіри при роботі з плагінами та темами мають стати обов’язковою практикою для будь-якої сучасної веб‑інфраструктури.
