Плагин Smart Slider 3 для WordPress и Joomla попал в неприятную историю: разработчики подтвердили, что злоумышленники подменили обновление и разослали зараженную версию на 800 000+ сайтов. Речь про релиз 3.5.1.35, в который добавили несколько бэкдоров и механизмы закрепления в системе.
Инцидент затронул Pro-версию плагина. По данным команды Nextendweb, атакующие около 7 апреля 2026 взломали систему, через которую распространяются патчи, и выкатили «отравленное» обновление как легитимное.
Что именно скомпрометировали и какие версии считаются опасными
Nextendweb описывает атаку прямо: неизвестные взломали инфраструктуру доставки обновлений и внедрили в Smart Slider 3 Pro «multiple backdoors and persistence layers». После этого зараженная версия ушла в апдейт-канал, и часть сайтов успела ее поставить до того, как проблему заметили.
- Скомпрометированная версия: 3.5.1.35
- Чистый релиз: 3.5.1.36
- Версия для отката: 3.5.1.34
Если сайт установил 3.5.1.35, Nextendweb предлагает либо обновиться до 3.5.1.36, либо откатиться на 3.5.1.34. Отдельно разработчики советуют восстановление из бэкапа, сделанного до попадания зараженного апдейта в канал.
Какие возможности давали бэкдоры и где нашли «закладки»
По описанию Nextendweb, вредоносная версия включала несколько векторов удаленного управления. В частности, бэкдор мог выполнять системные команды удаленно через HTTP-заголовки, а также исполнять произвольный PHP-код через скрытые параметры в запросах.
Еще один маркер компрометации — создание скрытого администратора. Такой пользователь не отображался в админ-интерфейсе, что усложняет обнаружение при беглом аудите.
- wp-content/mu-plugins/object-cache-helper.php
- theme functions.php
- wp-includes/class-wp-locale-helper.php
Отдельно Nextendweb предупреждает: бэкдор мог отправлять данные сайта и учетные данные на внешний сервер. Поэтому сайты, которые поставили 3.5.1.35, разработчики просят считать полностью скомпрометированными.
Технические детали и официальный текст предупреждения Nextendweb опубликованы в их advisory: WordPress Security Advisory по Smart Slider 3 Pro.
По таймлайну разработчиков, зараженное обновление атакующие выпустили 7 апреля 2026, а для восстановления из бэкапа Nextendweb называет безопасной точкой дату 5 апреля 2026 или раньше (с учетом разницы часовых поясов).
