Word Press je godinama najpopularnija platforma za izradu sajtova, ali upravo zbog te popularnosti predstavlja i čestu metu napada. Većina vlasnika sajtova zna da treba redovno ažurirati dodatke, teme i samu Word Press instalaciju. Međutim, poslednji incident sa kompromitovanim plugin portfoliom pokazuje da problem ne mora nastati samo zbog zastarelog softvera. Ponekad opasnost dolazi upravo kroz “regularan” kanal ažuriranja, odnosno kroz dodatak kome ste do juče verovali.
Tokom aprila 2026. bezbednosna zajednica je upozorila na ozbiljan slučaj kompromitacije većeg broja Word Press dodataka iz istog portfolija. Prema objavljenim analizama, zlonamerni kod nije dodat slučajno niti neposredno pred otkrivanje, već je bio ubačen mesecima ranije, a aktiviran tek kasnije. To znači da su mnogi sajtovi mogli normalno da rade, bez jasnih simptoma, sve dok napad nije “probudio” skrivenu funkcionalnost.
Ovakvi slučajevi su posebno opasni zato što ruše jednu od osnovnih pretpostavki koju veliki broj administratora ima: da je plugin bezbedan ako dolazi iz poznatog izvora ili je ranije imao dobru reputaciju. U praksi, bezbednost dodatka ne zavisi samo od njegovog naziva i istorije, već i od toga ko ga trenutno održava, kakav proces provere postoji nakon promene vlasništva i da li neko prati šta se menja unutar koda.
Zašto je ovaj incident važan i za manje sajtove
Vlasnici manjih firmi često misle da napadači ciljaju isključivo velike sisteme, portale sa ogromnim prometom ili velike internet prodavnice. To nije tačno. Napadaču je često dovoljno da preuzme što veći broj prosečnih sajtova kako bi na njima ubacio spam sadržaj, skrivene linkove, zlonamerne skripte ili dodatne pristupne tačke za dalje napade.
U konkretnom slučaju, analiza je pokazala da kompromitovani dodaci nisu služili samo za klasičan kvar sajta, već su korišćeni za skriveno ubacivanje SEO spama i izvršavanje dodatnog zlonamernog koda. Posebno zabrinjava činjenica da se deo malicioznog sadržaja nije nužno video običnim posetiocima sajta, već je mogao biti prikazivan selektivno, što dodatno otežava otkrivanje problema.
Drugim rečima, vaš sajt može delovati potpuno ispravno kada ga otvorite u pregledaču, a da istovremeno pretraživačima ili određenim botovima prikazuje potpuno drugačiji sadržaj. To može dovesti do pada reputacije domena, gubitka pozicija na Google-u, upozorenja od strane hosting provajdera, pa čak i do blokiranja sajta od strane bezbednosnih servisa.
Šta je zapravo supply chain napad u Word Press svetu
Kada se govori o Word Press bezbednosti, najčešće se pominju ranjivosti u dodacima, temama ili loše zaštićeni administratorski nalozi. Međutim, supply chain napad je nešto drugačije. Umesto da napadač “provali” kroz već poznatu rupu, on kompromituje sam izvor iz kog korisnici očekuju legitiman softver ili ažuriranje.
To može da izgleda ovako: dodatak promeni vlasnika, novi vlasnik dobije pristup repozitorijumu i sistemu ažuriranja, a zatim u sledećoj verziji ubaci kod koji na prvi pogled ne deluje opasno. Korisnici ga normalno ažuriraju, jer misle da samo dobijaju novu verziju radi kompatibilnosti ili sitnih poboljšanja. Tek kasnije se pokaže da je kroz to ažuriranje na hiljade sajtova dobilo skriveni mehanizam za napad.
U tome je najveća opasnost. Administrator ne mora da uradi ništa “pogrešno” u klasičnom smislu. Dovoljno je da se ponaša odgovorno i redovno ažurira dodatke, a da je sam kanal isporuke već kompromitovan. Upravo zato ovakvi događaji predstavljaju ozbiljno upozorenje celoj Word Press zajednici.
Zašto običan update nekada nije dovoljan
Kod mnogih standardnih Word Press ranjivosti preporuka je jasna: ažurirajte plugin na bezbednu verziju i problem je rešen. Kod kompromitovanih dodataka situacija je složenija. Ako je zlonamerni kod već uspeo da izmeni druge fajlove na sajtu ili ubaci dodatne pristupne tačke, samo uklanjanje problematičnog plugina možda neće biti dovoljno.
Objavljene analize za ovaj slučaj navode da je prinudno objavljena verzija uspela da zaustavi deo mehanizma komunikacije sa napadačem, ali nije automatski očistila već izmenjene fajlove, uključujući wp-config.php. To je ključna lekcija: sanacija sajta ne završava se prostim klikom na “update”. Potrebno je proveriti da li je ostao trag kompromitacije i ručno ili uz pomoć stručnog alata ukloniti sve što je naknadno dodato.
Kako da proverite da li je Word Press sajt rizičan
Ako koristite veći broj dodataka, posebno starijih ili manje poznatih, dobra praksa je da uradite kontrolu u nekoliko koraka.
Prvo, napravite listu svih aktivnih i neaktivnih pluginova. Mnogi zaborave da i neaktivan dodatak može ostati instaliran na serveru i predstavljati rizik ako sadrži kompromitovan kod ili ranjive fajlove.
Drugo, proverite poreklo i istoriju svakog važnog dodatka. Pogledajte da li se i dalje aktivno održava, da li je autor isti kao ranije, da li postoje bezbednosna upozorenja i da li je dodatak možda uklonjen iz Word Press repozitorijuma. Ako je plugin zatvoren, napušten ili uklonjen, to je signal za dodatni oprez.
Treće, pregledajte kritične fajlove Word Press instalacije. Posebnu pažnju treba obratiti na wp-config.php, .htaccess, functions.php aktivne teme, kao i na neobične PHP fajlove u root folderu. U konkretnom incidentu istraživači su ukazali baš na izmene u wp-config.php, što pokazuje koliko je važno proveravati i jezgro konfiguracije, a ne samo folder sa pluginovima.
Četvrto, obratite pažnju na simptome kao što su neočekivani SEO padovi, sumnjivi URL-ovi u indeksu pretraživača, spam stranice, čudni redirekti, neobjašnjivo opterećenje servera ili upozorenja iz hosting panela. Često vlasnik sajta prvo primeti posledicu, a tek onda otkrije uzrok.
Šta bi svaka firma koja koristi Word Press trebalo da uvede kao praksu
Ovaj incident nije važan samo kao vest iz sveta bezbednosti, već kao podsetnik da održavanje Word Press sajta mora biti proces, a ne povremena aktivnost.
To u praksi znači da je potrebno imati redovan pregled instaliranih dodataka, ograničiti broj pluginova samo na one koji su zaista potrebni, uklanjati sve što se ne koristi i pratiti bezbednosna obaveštenja. Pored toga, neophodno je imati pouzdan backup sistem i mogućnost da se brzo uporede promene u fajlovima ukoliko dođe do sumnjive aktivnosti.
Za firme koje vode više sajtova dodatni izazov je što ručna provera svakog sajta oduzima mnogo vremena. Upravo zato alati za centralizovano praćenje pluginova, promena fajlova i bezbednosnih upozorenja postaju sve važniji deo održavanja. I sam članak koji si poslao koristi taj ugao: ne zadržava se samo na opisu incidenta, već priču pretvara u praktičan vodič za proveru portfolija sajtova.
Šta Word Press ekosistem može da nauči iz ovog slučaja
Jedna od najvažnijih poruka jeste da promena vlasništva nad pluginom ne sme biti nevidljiv događaj za krajnje korisnike. Ako dodatak menja vlasnika, pogotovo kada ima veliki broj instalacija, logično je očekivati dodatnu proveru, transparentnije obaveštenje korisnicima i pojačan nadzor nad prvim izmenama u kodu.
U objavljenim analizama upravo je to izdvojeno kao jedna od slabih tačaka procesa: transfer vlasništva jeste formalno prošao, ali očigledno nije postojao dovoljan nivo provere novog vlasnika i njegovih prvih izmena. To je važna tema ne samo za Word Press.org, već i za sve koji razvijaju, kupuju ili održavaju dodatke za veliki broj korisnika.
Najveća greška koju vlasnik Word Press sajta danas može da napravi jeste da bezbednost posmatra kao jednokratan posao. Nije dovoljno samo instalirati plugin, povremeno kliknuti na update i nadati se da je sve u redu. Poslednji slučaj kompromitovanih dodataka pokazuje da rizik može doći i kroz reputabilan kanal, kroz dodatak koji je ranije delovao sasvim legitimno.
Zato je danas važnije nego ikada imati jasnu politiku održavanja Word Press sajta: koristiti samo proverene dodatke, smanjiti njihov broj na minimum, pratiti promene vlasništva i reputacije, redovno kontrolisati ključne fajlove sajta i obavezno imati kvalitetan backup i monitoring.
Ako koristite Word Press za poslovni sajt, prodavnicu ili portal, ovo nije tema koju treba odlagati. Jedan kompromitovan plugin može napraviti problem koji se neće odmah videti, ali može ostaviti ozbiljne posledice po bezbednost, SEO rezultat, poverenje korisnika i poslovanje.
