Nieuws: Essential plugins zijn geïnfecteerd – plugins per direct geblokkeerd
De afgelopen maanden is duidelijk geworden dat het volledige Essential Plugin-portfolio (voorheen WP Online Support) is overgenomen en misbruikt voor het verspreiden van backdoors.
In 2025 werd het pluginportfolio via Flippa verkocht aan een koper die zich 'Kris' noemde. De deal betrof 31 plugins met gezamenlijk honderdduizenden actieve installaties. Op 12 mei 2025 verscheen een nieuw essentialplugin-account op WordPress.org, met commitrechten op alle 31 plugins.
Op 8 augustus 2025 volgde de eerste update van de nieuwe eigenaar: versie 2.6.7. De changelog vermeldde slechts “Check compatibility with WordPress version 6.8.2”. In werkelijkheid werden 191 regels backdoor-code toegevoegd.
Deze code:
- maakte verbinding met
analytics.essentialplugin.com - downloadde een bestand genaamd wp-comments-posts.php (opzettelijk bijna identiek aan het WordPress-corebestand
wp-comments-post.php) - injecteerde een groot PHP-blok in
wp-config.php
De backdoor bleef vervolgens acht maanden slapend: geen verdachte activiteit, geen netwerkverkeer. Totdat hij op 5–6 april 2026 werd geactiveerd.
Op 7 april 2026 heeft WordPress.org daarop alle 31 plugins permanent verwijderd uit de plugin directory.
Wat betekent dit voor onze klanten?
Vanaf vandaag blokkeren wij alle plugins uit het Essential Plugin-portfolio actief. Heb je één van deze plugins geïnstalleerd, dan wordt deze automatisch verwijderd door onze malware-scanner. Je ontvangt hiervan een melding.
Gebruik je functionaliteit die afhankelijk was van één van deze plugins, dan adviseren we om een veilig alternatief te installeren.
Waarom deze maatregel?
De backdoor is bewezen actief misbruikt en vormt een direct risico voor:
- website-integriteit
- dataveiligheid
- serverveiligheid
- verdere besmetting van andere WordPress-installaties
Om onze klanten en onze infrastructuur te beschermen, is blokkeren de enige verantwoorde keuze.