「WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因」
WordPress向けの複数プラグインに不正なコードが挿入された問題で、WordPress.orgは、侵害された複数のアカウントより、プラグインの改ざんが行われたことを明らかにしました。
https://www.security-next.com/159016
出典:Security NEXT
<どのように侵害されたのか>
原因がはっきりしていなかったのですが、調査の結果、他ウェブサイトより流出したユーザー名やパスワードを組み合わせたパスワードリスト攻撃を受け、プラグインの開発に参加するコミッターのアカウント5件が不正アクセスを受けたそうです。
<被害を受けたWordPressプラグイン>
「BLAZE Retail Widget」「Contact Form 7 Multi-Step Addon」「Simply Show Hooks」「Social Sharing Plugin – Social Warfare」「Wrapper Link Elementor」といったプラグインで改ざん被害が発生しました。尚、「Simply Show Hooks」プラグインは修正することなく削除されています。このプラグインをインストールしているWebサイトの管理者には、速やかなプラグインの削除と侵害調査の実施が推奨されています。
<対策について>
侵害されたプラグインはWebサイトに悪意のある管理者アカウントを作成し、Webサイトの情報を攻撃者に送信します。攻撃者は受信した情報を基にWebサイトに追加の攻撃を実施できるため、プラグインを削除しても安全ではありません。適切な権限設定やプラグインを更新できる開発者の定期的な監査、リリースにあたり確認を行うオプトイン機能の活用、第三者が予想できない堅牢なパスワード、2要素認証の活用などを呼びかけています。またアカウントを複数のユーザーで共有する危険性を指摘。ひとりでも侵害を受けるとパスワードリセットが実行されてパスワードを取得され、プラグインの破壊や閉鎖などにもつながるおそれがあるとして注意を呼びかけています。
先日までは原因がはっきりしていなかった為、侵害されていない安全なバックアップを取っておくことが推奨されていました。
バックアップが無い場合は、侵害されたプラグインを削除(推奨)するか、またはプラグインのアップデートを実施する必要があります。
その上でさらに対策を実施することが推奨されていますので、WordpressのHPを参照しましょう。
HP作成を外注なさっている方もおられると思います。状況がわからない場合は外注先への確認を推奨致します。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★