你的網站可能正在替駭客工作

你上一次檢查網站安裝了哪些外掛，是什麼時候的事？

上週，網站託管公司Anchor Hosting創辦人Austin Ginder在一篇部落格文章中揭露了一起令人警醒的事件：WordPress外掛開發商「Essential Plugin」遭到收購後，新買家悄悄在原始碼中植入後門程式。這段惡意程式碼靜靜潛伏了數月，直到本月初才被「啟動」，開始向所有安裝該外掛的網站散布惡意程式碼。

事件始末：一場精心設計的潛伏攻擊

Essential Plugin在其官網上宣稱擁有超過40萬次外掛安裝量與1萬5千名客戶。根據WordPress外掛目錄的資料，受影響的外掛已被安裝於超過2萬個活躍的WordPress網站中。

攻擊手法分三個步驟，環環相扣。第一步，去年某個時間點，不明人士收購了Essential Plugin這家公司。第二步，收購完成後，買家在外掛程式碼中嵌入後門，但讓它保持休眠狀態——這是為了規避安全掃描工具的偵測。第三步，在本月初，後門被遠端啟動，開始對所有安裝了這些外掛的網站下達指令，散布惡意程式碼。

這正是資安研究人員長期警告的「軟體供應鏈攻擊」。攻擊者不直接入侵目標系統，而是污染目標所信任的軟體供應來源。就像在食品生產線的源頭下毒，而非在消費者手中的產品上動手腳——等到發現問題時，傷害已經擴散到整條鏈上。

目前，問題外掛已從WordPress目錄中下架，狀態標示為「永久關閉」。但Ginder特別強調一個關鍵盲點：外掛從目錄下架，並不代表它會自動從已安裝的網站中消失。 此刻仍有大量網站管理者，在不知情的狀況下，讓惡意程式碼繼續運行在自己的伺服器上。

Ginder同時指出一個更深層的結構性問題：WordPress平台目前並沒有機制在外掛所有權轉移時通知使用者。換言之，你今天信任的外掛開發者，明天可能已經換人，而你完全不會知道。Ginder表示，這是過去兩週內被發現的第二起WordPress外掛遭劫持事件。

廣告

廣告合作

[email protected]

廣告

為什麼這件事現在特別重要

WordPress支撐著全球約43%的網站。在台灣、香港及東南亞華語市場，無論是個人部落格、中小企業官網、媒體平台或電商網站，都大量依賴WordPress生態系。這個生態系的核心價值是「開放性」——任何人都可以開發外掛、擴充功能，任何人也都可以購買現有的外掛業務。

這種開放性是雙面刃。它降低了建站門檻，也降低了發動供應鏈攻擊的門檻。

對於華語世界的中小企業主而言，這個問題尤為值得關注。許多企業在架設網站後，便將日常維護交給外包廠商或兼職人員，缺乏定期的資安稽核機制。在這種情況下，一個休眠數月後才啟動的後門，極有可能在造成實質損害後很久才被察覺。

從更宏觀的地緣政治角度來看，這起事件也呼應了近年來各國政府對「軟體供應鏈安全」的高度重視。美國在2021年SolarWinds事件後已大幅強化相關法規；歐盟的《網路韌性法》（Cyber Resilience Act）也將開源軟體的安全責任納入規範。亞洲各國政府的相應政策，則仍在追趕之中。

多元視角

對網站管理者而言，當務之急是前往Ginder的部落格文章，核對受影響外掛的完整清單，並立即移除任何符合的外掛。但這只是第一步。若後門已在啟動期間執行過惡意程式碼，網站可能需要完整的資安鑑識調查，甚至重新安裝。

**對WordPress平台而言**，這起事件提出了一個難以迴避的治理問題：是否應建立外掛所有權變更的強制通知機制？批評者認為，這樣的機制將增加行政負擔，並可能抑制開源社群的活躍度。支持者則認為，平台有責任保護其生態系中數以億計的終端使用者。

從資安產業的視角，這起事件再次印證了一個殘酷現實：在現代軟體生態中，「信任鏈」（chain of trust）一旦斷裂，後果可以極為廣泛。2020年的SolarWinds攻擊影響了美國多個聯邦機構；本次事件雖然規模較小，但手法如出一轍。隨著軟體供應鏈日益複雜，這類攻擊的頻率只會增加，不會減少。

對華語世界的特殊意涵：在中國大陸，WordPress的使用受到防火長城的一定限制，但仍有大量企業透過境外伺服器使用。台灣、香港及東南亞的華語市場則是WordPress的主要用戶群。對這些地區的企業而言，資安意識的提升不僅是技術問題，更是商業連續性的核心課題。