WordPress向けの複数のプラグインから、巧妙な手口で隠されたバックドアが見つかった。
オープンソースのブログ作成ソフト「WordPress」向けの人気プラグインに悪質なコードが仕込まれているのが見つかり、開発チームがWordPress.orgの全ユーザーにパスワードのリセットを促している。
WordPress.orgのブログによると、複数のプラグインに不審な動作が見られたため調べたところ、「AddThis」「WPtouch」「W3 Total Cache」の各プラグインから、巧妙な手口で隠されたバックドアが見つかった。バックドアを仕込んだのは各プラグインの作者ではないと開発チームは見ている。
問題の発覚を受けて、これらプラグインは提供を中止するとともに、アップデートをプッシュ配信する措置を取った。プラグインのリポジトリは一時的に閉鎖し、問題のあるプラグインがほかにないかどうかを調べているという。
どのような経緯でバックドアが混入したのかは現時点では不明だが、予防的措置として、WordPress.orgのパスワードはすべて強制的にリセットすることにしたという。ユーザーには以前と違うパスワードに変更するよう促し、複数のサービスの間で同じパスワードを使い回すことのないよう念を押している。
Copyright © ITmedia, Inc. All Rights Reserved.