Malwarebytesは7月19日(米国時間)、「Warning for Wordpress admins: uninstall the Modern WPBakery plugin immediately!|Malwarebytes Labs」において、WordPressのプラグインである「Modern WPBakery」をすぐにアンインストールするように伝えた。
このプラグインの脆弱性を突いたサイバー攻撃が急増していることが観測されており、このプラグインを使っている場合はサイトに不正侵入を受け悪用されるまでは時間の問題だと指摘されている。
「Modern WPBakery」はページビルダーのアドオン。このプラグインにはCVE-2021-24284として特定されている脆弱性が存在しており、'uploadFontIcon' AJAXアクションを利用して認証を必要とせずに任意のファイルがアップロード可能とされている。つまり、サイバー犯罪者によって不正なPHPファイルを仕込まれ、Webサイトの制御権が乗っ取られる危険性があるとされている。
160万件のサイトに対してスキャンが実施され、現在のところ4000から8000のWebサイトにこのプラグインが使われていると推定されている。このプラグインはすでにサポートされておらず、脆弱性の修正は行われないとされている。該当するプラグインを使っている場合には早急に削除することが推奨されている。
WordPressは世界で最も多く使われているCMS (Content Management System)であり、豊富なプラグインがエコシステムを構築している。WordPressの活用においてはプラグインを外すことはできないが、このプラグインはサイバー攻撃の足がかりとされることが多いことも知られている。
WordPressを使う場合、サポートが提供されているプラグインを常に最新の状態へのアップデートを続けることが望まれる。サポートが終了したプラグインはセキュリティ上のリスクになることから、ただちにアンインストールを行うことが望まれる。