Hàng chục plugin WordPress bị cài “backdoor”, đe dọa hàng nghìn website

Tác giả Dương Tấn Đạt 15/04/2026 4 phút đọc

Một chiến dịch tấn công quy mô lớn đã được phát hiện, trong đó tin tặc cài “backdoor” vào hàng chục plugin WordPress phổ biến, khiến hàng nghìn website có nguy cơ bị kiểm soát từ xa.

Điểm đáng chú ý là các plugin này vốn được xem là đáng tin cậy và đã tồn tại trong hệ sinh thái một thời gian dài. Tuy nhiên, sau khi bị mua lại hoặc thay đổi quyền kiểm soát, chúng đã bị chỉnh sửa để chèn mã độc mà người dùng khó có thể phát hiện.

Cách thức tấn công được đánh giá là một dạng “supply chain attack” – tấn công vào chuỗi cung ứng phần mềm. Thay vì hack trực tiếp từng website, kẻ tấn công chỉ cần xâm nhập vào plugin, sau đó phát tán bản cập nhật chứa mã độc đến hàng loạt website cùng lúc.

Các backdoor này cho phép:

Thực thi mã từ xa
Tạo tài khoản quản trị ẩn
Chèn nội dung spam SEO
Kiểm soát website mà không bị phát hiện

Trong nhiều trường hợp, mã độc có thể “nằm im” trong thời gian dài trước khi được kích hoạt, khiến việc phát hiện càng khó khăn hơn.

Sau khi vụ việc bị phát hiện, kho plugin chính thức đã nhanh chóng gỡ bỏ hàng loạt plugin liên quan để hạn chế thiệt hại. Tuy nhiên, nhiều website đã cài đặt các phiên bản bị nhiễm trước đó và vẫn đang đối mặt với rủi ro bảo mật.

Điều này đặc biệt nguy hiểm vì WordPress hiện là nền tảng chiếm tỷ lệ lớn trên internet, khiến bất kỳ lỗ hổng nào cũng có thể ảnh hưởng đến quy mô rất rộng.

Các chuyên gia bảo mật cảnh báo rằng người dùng không nên chỉ tin tưởng vào số lượt cài đặt hay độ phổ biến của plugin. Ngay cả những plugin quen thuộc cũng có thể trở thành mục tiêu nếu quyền kiểm soát rơi vào tay kẻ xấu.

Ngoài ra, việc cập nhật plugin – vốn thường được coi là hành động an toàn – trong trường hợp này lại trở thành con đường phát tán mã độc.

Sự kiện này cho thấy một vấn đề lớn trong hệ sinh thái WordPress: phần lớn rủi ro không đến từ lõi hệ thống mà đến từ plugin bên thứ ba. Khi số lượng plugin ngày càng nhiều, việc kiểm soát chất lượng và bảo mật trở nên khó khăn hơn.

Trong bối cảnh đó, các chuyên gia khuyến nghị người dùng cần kiểm tra kỹ nguồn plugin, theo dõi các cảnh báo bảo mật và thường xuyên quét hệ thống để phát hiện dấu hiệu bất thường trước khi quá muộn.