Ako se u vašem WordPressu "sam od sebe" pojavio nepoznati administrator ili plugin koji niste instalirali — vjerojatno ste žrtva ovih ranjivosti. Dodaci GutenKit i Hunk Companion (CVE-2024-9234, CVE-2024-9707, CVE-2024-11972, svi CVSS 9.8) omogućuju neautentificiranu instalaciju proizvoljnog plugina → RCE. Iako su otkriveni krajem 2024., od 8.10.2025. traje novi masovni val — obrambeni sustavi blokirali su 8,7 milijuna napada u dva dana.
Jeste li pogođeni?
- Nepoznati administratorski račun koji niste kreirali
- Plugin koji se "sam instalirao" — napadači ga često prerušavaju u lažni "All in One SEO"
- Nepoznate
.phpdatoteke (backdoor) i sumnjivi zakazani zadaci (cron)
Što napraviti odmah
- Ažurirajte GutenKit i Hunk Companion na najnovije verzije (ili ih uklonite ako ih ne koristite).
- Obrišite sve nepoznate admin račune i promijenite lozinke.
- Pronađite i uklonite podmetnute plugine i backdoor datoteke.
- Provjerite cijeli sustav skenerom — jednom kad je admin kreiran, moglo je biti ubačeno još.
Ovo je školski primjer zašto "star, a neažuriran plugin" ostaje najveći rizik za WordPress.
Pojavio se nepoznati admin ili plugin? Pošaljite nam link — dijagnoza je besplatna, a javljamo se u roku od 5 minuta. Hitni popravak →
WMD — Super brza podrška.