複数のWordPressプラグインにバックドア、確認と対策を

侵害されたプラグインのいずれかをインストールしていた場合は、Webサイト全体が侵害されたとみなし、対策を実施することが推奨されている。プラグインの侵害は2024年6月21日(米国時間)以降とみられ、これより前に作成したWebサイトのバックアップがある場合は、それを活用して復旧することができる。

安全なバックアップがない場合は、侵害されたプラグインを削除(推奨)するか、またはプラグインのアップデートを実施する必要がある。その上で次のような対策を実施することが推奨されている。

管理者アカウントに「Options」または「PluginAuth」が存在している場合、これらアカウントは悪意のあるプラグインによって作成された可能性がある。これらアカウントは速やかに削除する
Webサイト全体に完全なマルウェアスキャンを実施して、悪意のあるコードを検出、削除する
すべてのWebページを調査し、覚えのないJavaScriptが挿入されていないか確認して削除する
覚えのない管理者アカウントが存在した場合、WebサイトにはWebシェルの設置やマルウェアの展開など追加の攻撃が実施された可能性がある。これらの影響を調査し、必要な対策を実施する

この事案では窃取したWebサイトの情報をIPアドレス「94.156.79.8」に送信することが判明している。そこで追加の対策としてこのIPアドレスとの通信を監視し、ブロックすることが推奨されている。

これまでのところプラグインの侵害手法は明らかになっていない。そのため、今後も同様の攻撃が予想されることから、WordPressを利用しているWebサイトの管理者にはWebサイトのバックアップを定期的に作成し、攻撃に備えることが望まれている。
（後藤大地）