Sucuriは8月28日(米国時間)、公式ブログのエントリ「Persistent WordPress User Injection」において、WordPressに対する新たな攻撃を検出したと伝えた。この攻撃は、悪意のあるコードを読み込ませることで、WordPress内に任意のユーザーを追加するというもの。追加されたユーザを悪用して、Webサイトを乗っ取られる危険性がある。

問題のコードは、WordPressのテーマに必須な「functions.php」で検出されたという。WordPressの内部関数を利用してユーザーを作成し、ロールを"管理者"(Administrator)に設定する。

  • WordPressに任意のユーザを追加す攻撃コードの例 - 情報: Sucuri Blog

    WordPressに任意のユーザを追加す攻撃コードの例 資料: Sucuri Blog

このコードにはinitフックが設定されているため、Webサイトがロードされるたびに呼び出されるという。したがって、もし管理者が気付いて該当のユーザーを削除したとしても、Webサイトがリロードされるたびに新たに同じユーザーが追加されてしまう。

対策としては、functions.phpファイルから該当のコードを取り除き、追加されたユーザーを削除することが挙げられている。それに加えて、不審なアクティビティやファイルの変更を検出する監視システムの導入や、問題が生じた際にWebサイトを復元できるように定期的にバックアップを取ることなどを推奨している。