Industriellt transportband med identiska paket där ett bär en röd trojansymbol bredvid en grön verifieringsbock, illustration av en leveranskedjeattack mot WordPress.
Nyheter
Fredrik Eriksson
Fredrik Eriksson ·

Leveranskedjeattacker mot WordPress – junivågen 2026

Under de andra och tredje veckorna i juni 2026 bekräftades två separata leveranskedjeattacker (på engelska supply chain attacks) mot WordPress-ekosystemet. Sammantaget exponerades mer än en miljon sajter för skadlig kod, trots att inga av dem hade gjort något tekniskt fel. Det är den centrala och obehagliga poängen: du kan ha hållit allt uppdaterat och ändå blivit drabbad. Attackvektorn var inte en opatchad sårbarhet hos dig utan den betrodda leveranskedjan du förlitar dig på.

Nedan går vi igenom vad som hände, hur du kontrollerar om din sajt är påverkad och vad du bör göra om det visar sig att den är det.

Visualisering: en leveranskedjeattack korsar förtroendegränsen från en betrodd leverantör in till din WordPress-sajt via en vanlig uppdatering. Fullt uppdaterad, ändå drabbad.

Incident 1: Awesome Motives CDN komprometterades via UpdraftPlus

Den 12 juni 2026, strax efter kl. 22 UTC, började sajter som använde OptinMonster, TrustPulse eller PushEngage leverera skadlig JavaScript till sina besökare. Skriptet kom inte från pluginfilerna på WordPress.org utan från de CDN-filer som Awesome Motive (moderbolaget bakom alla tre) serverar direkt till sina kunders sajter.

Angriparen tog sig in via en känd sårbarhet i UpdraftPlus, som körde på Awesome Motives egna marknadsföringssajt. Därifrån hittades CDN-API-nycklar i klartext på servern, vilket gav full kontroll att manipulera de JavaScript-filer som distribueras till kunderna. Skriptet lade sig sedan vilande tills en inloggad administratör besökte sajten, varefter det automatiskt skapade ett dolt admin-konto (typiskt med användarnamnet developer_api1 eller ett slumpmässigt dev_xxxxxx) och installerade en gömd bakdörrs-plugin.

Enligt Sansec var OptinMonster och TrustPulse komprometterade under drygt 25 minuter den kvällen (22:17 till 22:42 UTC), medan PushEngage-filerna fortsatte serveras med skadlig kod ända till den 14 juni. Totalt beräknas ungefär 1,2 miljoner WordPress-sajter ha exponerats under fönstret. De stulna uppgifterna skickades till domänen tidio.cc, som efterliknar den legitima tidio.com.

Att märka är att attacken aldrig utnyttjade någon sårbarhet i själva OptinMonster-pluginen. Den drabbade sajten var fullt uppdaterad. Det spelar ingen roll när ingångspunkten är distributionsinfrastrukturen uppströms.

Incident 2: ShapedPlugins bygg-pipeline kapades

Den andra attacken är tekniskt sett ännu allvarligare. Angripare lyckades ta sig in i ShapedPlugins bygg- och distributionspipeline och injicerade en bakdörr direkt i de kompilerade Pro-paketen. Tidsstämpling visar att fyra filer modifierades under ett tvåtimmarsfönster den 21 maj 2026. Kundrapporter dök upp runt den 10 juni, och säkerhetsföretaget Defiant (bakom Wordfence) bekräftade att bakdörren injicerats den 21 maj.

Tre betalversioner drabbades: Product Slider Pro for WooCommerce (före version 3.5.4), Real Testimonials Pro (version 3.2.5) och Smart Post Show Pro (före version 4.0.2). Gratisversionerna på WordPress.org var aldrig berörda. Attacken tog bara sikte på betalkunderna som hämtade uppdateringar via leverantörens egna EDD-infrastruktur.

Den skadliga koden låg i en loader som kördes automatiskt på varje sida i WordPress-adminpanelen. Den kontaktade en C2-server, laddade ner en andra bakdörr förklädd som en WooCommerce-plugin och raderade sig sedan själv för att försvåra forensisk analys. Bakdörren inkluderade verktyg för filhantering, ett web shell, ett REST API-backdoor, stöldkomponenter för inloggningsuppgifter och 2FA-hemligheter, samt WooCommerce-orderdata från de tre senaste månaderna.

Sårbarheten fick CVSS-score 10.0, den högsta möjliga (CVE-2026-10735, även inlämnad som CVE-2026-49777). Det är ovanligt och en markering om hur fullständig kompromiss detta innebar.

Varför en attack mot leveranskedjan är en annan hotklass

Vi har tidigare skrivit om WordPress-plugin-sårbarheter som utnyttjas aktivt, där rådet är bekant: håll plugins uppdaterade, installera snabba säkerhetsuppdateringar. Det rådet gäller fortfarande men det räcker inte mot en attack mot leveranskedjan.

Skillnaden är grundläggande. En vanlig sårbarhet (CVE) innebär att angriparen hittar ett hål i kod du kör. En leveranskedjeattack innebär att angriparen är uppdateringen. Den skadliga koden levereras via de exakt samma kanaler och signaturer som legitima uppdateringar, undertecknad av samma leverantör, serverad från samma CDN. Det finns inget beteende på din sida att korrigera.

Det enda effektiva försvaret är att begränsa hur mycket av din sajts säkerhet som hänger på leveranskedjor du inte kontrollerar. Det kan låta abstrakt, men det omsätts i ganska konkreta åtgärder.

Är din sajt drabbad? Kontrollera det här

Om du kör eller körde någon av de berörda plugins under perioden 12-14 juni (OptinMonster/TrustPulse/PushEngage) eller hämtade Pro-uppdateringar av ShapedPlugins produkter under maj-juni, bör du gå igenom följande:

  1. Okända admin-konton. Gå till Användare i WordPress-adminpanelen och filtrera på rollen Administratör. Konton med namn som developer_api1, dev_-prefix eller slumpmässiga strängar du inte känner igen ska tas bort omedelbart. Kontrollera även e-postadresser som slutar på @gmail.com och som du inte lagt till själv.
  2. Okända eller dolda plugins. Bläddra igenom listan i Plugins och undersök allt som heter woocommerce-subscription, woocommerce-notification eller annat som du inte installerat. Kontrollera även katalogen wp-content/plugins/ direkt på servern, eftersom dolda plugins kan saknas i adminpanelens vy.
  3. Filer med specifika strängar. Sök i filsystemet efter strängen developer_api1, namnet på det skadliga operatörskontot. Patchstack och Sansec har publicerat fler tekniska indikatorer (IOC:er) att matcha mot.
  4. Aktivitetslogg sedan 12 juni. Om du har ett aktivitetslogg-plugin (t.ex. WP Activity Log eller liknande) kan du granska inloggningar, plugin-installationer och admin-kontoändringar bakåt i tid.
  5. Rotera alla känsliga nycklar. Om sajten hade någon av de drabbade plugins aktiva bör du byta WordPress-adminlösenord, API-nycklar, SMTP-lösenord och databasuppgifter. ShapedPlugin-bakdörren stals specifikt dessa uppgifter.

Att enbart ta bort ett misstänkt konto eller plugin räcker inte om bakdörren hann etablera sig. En professionell mallsanering eller återläsning från en verifierat ren backup är det säkraste alternativet om du hittar spår. Mer om hur regelbundna säkerhetskopior gör återhämtning möjlig finns i vår FAQ om hur ofta du bör ta backup av din webbplats.

Hur du minskar din exponering framåt

Det finns inget sätt att eliminera risken helt, men det finns rimliga åtgärder som sänker den påtagligt.

Färre plugins med bredare åtkomst. Varje plugin du installerar är ett tillägg till den tillit du ger externa leveranskedjor. Plugins som kör JavaScript från externa CDN:er (som OptinMonster gör av prestandaskäl) är extra känsliga, eftersom de levererar kod utanför det WordPress-uppdateringssystem du normalt övervakar. Det är inte ett argument mot att använda sådana verktyg, men det är ett argument för att vara selektiv.

Staging-miljö för uppdateringar. Om du kör en WooCommerce-butik eller en verksamhetskritisk sajt är det värt att ha en staging-miljö och låta uppdateringar ligga ett par dagar innan de rullas ut i produktion. ShapedPlugin-bakdörren låg obemärkt i tre veckor. En policy om att inte omedelbart applicera uppdateringar ger tid för säkerhetsforskare att rapportera fynd.

Aktivera 2FA på alla adminpanelanvändare. Inget av det ovanstående hindrade den direkta bakdörren i dessa fall, men det höjer ribban för vad angriparen kan göra med stulna uppgifter. Läs mer om hur tvåfaktorsautentisering fungerar i vår FAQ om 2FA och om du bör använda det.

Begränsa adminanvändare. Varje konto med administratörsrättigheter är en potentiell ingångspunkt. Gå igenom din användarlista och nedgradera konton som inte behöver fullständig åtkomst till Editor eller lägre.

Övervakningsplugin och integritetskontroll. Plugins som Wordfence eller iThemes Security kan jämföra dina plugin-filer mot kända rena versioner och flagga avvikelser. Det är inte idiotsäkert mot zero-day leveranskedjeattacker, men det fångade faktiskt tidiga indikatorer i ShapedPlugin-fallet.

Rådet att skydda en WordPress-sajt från hackning i sin helhet sammanfattas i vår FAQ om hur du skyddar din WordPress-sajt från hackning.

Vad leverantörerna gjort

Awesome Motive städade sina CDN-filer under den 13 juni och har enligt Patchstack även stärkt hanteringen av API-nycklar och åtkomstrutiner. Skadlig kod serveras inte längre. Den viktiga nyanseringen är att sajter som redan komprometterades under fönstret inte hjälps av leverantörens åtgärder. En bakdörr som hann installeras finns kvar tills du tar bort den.

ShapedPlugin ersatte de drabbade plugin-byggen med rena versioner och kommunicerade incidenten till sina kunder. Uppdatering till de patchade versionerna tar bort möjligheten till ny infektion via uppdateringskanalen, men sanerar inte en redan etablerad bakdörr. Kontrollera filsystemet oavsett om du uppdaterat.

Att leverantörerna agerade och kommunicerade är positivt. Lärdomen är strukturell snarare än en fråga om aktörsansvar. Ingen plugin-leverantör, hur välskött den är, kan garantera att dess infrastruktur aldrig komprometteras. Det är en realitet som påverkar hur vi som sajt-ägare bör designa vårt skyddslager.