Defiantはこのほど、「Several WordPress.org Plugins <= Various Versions - Injected Backdoor」において、複数のWordPressプラグインにバックドアが挿入されたと報じた。影響を受けたプラグインをインストールしているWebサイトには、不正な管理者ユーザーが作成され、Webサイト全体にSEOスパム(Search Engine Optimization SPAM)を挿入される可能性がある。

詳細は次のページにまとまっている。

  • Several WordPress.org Plugins <= Various Versions  - Injected Backdoor

    Several WordPress.org Plugins <= Various Versions - Injected Backdoor

侵害されたWordPressプラグイン

侵害されたWordPressプラグインおよびバージョンは次のとおり。

修正されたWordPressプラグイン

修正されたWordPressプラグインおよびバージョンは次のとおり。

「Simply Show Hooks」プラグインは修正することなく削除された。このプラグインをインストールしているWebサイトの管理者には、速やかなプラグインの削除と侵害調査の実施が推奨されている。

影響と対策

侵害されたプラグインはWebサイトに悪意のある管理者アカウントを作成し、Webサイトの情報を攻撃者に送信する。攻撃者は受信した情報を基にWebサイトに追加の攻撃を実施できるため、プラグインを削除しても安全ではない。

侵害されたプラグインのいずれかをインストールしていた場合は、Webサイト全体が侵害されたとみなし、対策を実施することが推奨されている。プラグインの侵害は2024年6月21日(米国時間)以降とみられ、これより前に作成したWebサイトのバックアップがある場合は、それを活用して復旧することができる。

安全なバックアップがない場合は、侵害されたプラグインを削除(推奨)するか、またはプラグインのアップデートを実施する必要がある。その上で次のような対策を実施することが推奨されている。

  • 管理者アカウントに「Options」または「PluginAuth」が存在している場合、これらアカウントは悪意のあるプラグインによって作成された可能性がある。これらアカウントは速やかに削除する
  • Webサイト全体に完全なマルウェアスキャンを実施して、悪意のあるコードを検出、削除する
  • すべてのWebページを調査し、覚えのないJavaScriptが挿入されていないか確認して削除する
  • 覚えのない管理者アカウントが存在した場合、WebサイトにはWebシェルの設置やマルウェアの展開など追加の攻撃が実施された可能性がある。これらの影響を調査し、必要な対策を実施する

この事案では窃取したWebサイトの情報をIPアドレス「94.156.79.8」に送信することが判明している。そこで追加の対策としてこのIPアドレスとの通信を監視し、ブロックすることが推奨されている。

これまでのところプラグインの侵害手法は明らかになっていない。そのため、今後も同様の攻撃が予想されることから、WordPressを利用しているWebサイトの管理者にはWebサイトのバックアップを定期的に作成し、攻撃に備えることが望まれている。