Malwarebytesはこのほど、「Malware targets 30 unpatched WordPress plugins」において、パッチが適用されていないWordPressプラグインがサイバー攻撃の標的にされていると伝えた。30以上のパッチが適用されていない脆弱性を持つプラグインが悪用されていると報告している。
パッチが適用されていない脆弱性が存在するとされているWordPressプラグインまたはテーマは次のとおり。
- WP Live Chat Support Plugin
- WordPress Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Facebook Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
上記のWordPressプラグインまたはテーマを利用した脆弱性のあるWebサイトが攻撃者に検出された場合、不正なスクリプトが注入されるとのことだ。侵害されたWebサイトのどこかのページをクリックすると、注入されたスクリプトによって悪意のあるWebサイトにリダイレクトされることが判明している。
WordPressのユーザーは脆弱性が存在するとされているプラグインやテーマがないか確認するとともに、パッチが適用された最新版へのアップデートを実施することや更新されていないプラグインがある場合は速やかに削除することが推奨されている。