超過百萬個 WordPress 網站陷危機:供應鏈攻擊如何透過行銷伺服器植入惡意程式?
編輯核心觀點
- ✦知名行銷軟體公司 Awesome Motive 因行銷伺服器遭駭,導致其 CDN 遭竄改並散佈惡意 JavaScript。
- ✦攻擊者鎖定已登入的 WordPress 管理員,透過竊取權限令牌(Token)建立後門帳號並取得網站控制權。
- ✦即便惡意腳本已移除,受害網站仍需手動檢查特定名稱的異常管理員帳號與隱藏外掛,並全面重設安全憑證。

超過一百萬個 WordPress 網站近期面臨嚴重的資安威脅。電子商務安全機構 Sansec 發現,駭客利用行銷軟體公司 Awesome Motive 旗下伺服器的漏洞,發動了一場大規模的供應鏈攻擊。Awesome Motive 旗下擁有包括 OptinMonster、TrustPulse 與 PushEngage 在內的多款熱門 WordPress 產品。
攻擊路徑:從行銷伺服器到 CDN 劫持
根據資安研究人員的調查,駭客鎖定的是 Awesome Motive 用於行銷業務的伺服器,該伺服器中運行著一個存在漏洞的 UpdraftPlus 外掛。雖然該伺服器並非生產環境的一部分,但其中儲存了公司內容傳遞網路(CDN)的存取憑證。
駭客取得 CDN 的 API 金鑰後,成功修改了透過該 CDN 分發的 JavaScript 檔案。這意味著,這些惡意程式碼被植入到使用 Awesome Motive 旗下產品的網站中,並傳遞給瀏覽這些網站的訪客。
精準鎖定管理員權限
這場攻擊具有高度針對性,惡意腳本並非對所有訪客生效,而是僅在「已登入的 WordPress 管理員」造訪受影響網站時才會啟動。這種設計讓攻擊者能隱匿行蹤,同時專注於獲取高權限用戶的控制權。
一旦管理員觸發腳本,惡意程式便會竊取管理員的認證令牌(Authentication Tokens)與 WordPress Nonces,進而執行以下惡意行為:
- 建立全新的管理員帳號。
- 安裝額外的惡意後門外掛。
- 建立命令與控制(C2)基礎設施。
- 竊取敏感資料並執行 Web Shell,實現任意 PHP 程式碼執行與檔案管理功能。
網站管理員的緊急檢查清單
儘管 Awesome Motive 已移除 CDN 中的惡意指令碼,但攻擊者透過建立的「後門帳號」與「隱藏外掛」,仍能持續控制已經受害的網站。資安專家強烈建議網站擁有者採取以下行動:
檢查並刪除名為『developer_api1』或『dev_xxxxxx』的異常管理員帳號;直接檢查 wp-content/plugins 目錄以揪出隱藏的後門外掛;執行伺服器端的惡意程式掃描。
此外,所有受影響的網站必須立即執行憑證輪替,包括重設管理員密碼、更新 API 金鑰、資料庫憑證以及 WordPress 安全鹽值(Security Salts),以確保網站徹底擺脫攻擊者的控制。



