WordPressのプラグインに悪質なコードが混入

WordPress向けの複数のプラグインから、巧妙な手口で隠されたバックドアが見つかった。

» 2011年06月23日 07時33分 公開
[鈴木聖子,ITmedia]

 オープンソースのブログ作成ソフト「WordPress」向けの人気プラグインに悪質なコードが仕込まれているのが見つかり、開発チームがWordPress.orgの全ユーザーにパスワードのリセットを促している。

 WordPress.orgのブログによると、複数のプラグインに不審な動作が見られたため調べたところ、「AddThis」「WPtouch」「W3 Total Cache」の各プラグインから、巧妙な手口で隠されたバックドアが見つかった。バックドアを仕込んだのは各プラグインの作者ではないと開発チームは見ている。

 問題の発覚を受けて、これらプラグインは提供を中止するとともに、アップデートをプッシュ配信する措置を取った。プラグインのリポジトリは一時的に閉鎖し、問題のあるプラグインがほかにないかどうかを調べているという。

 どのような経緯でバックドアが混入したのかは現時点では不明だが、予防的措置として、WordPress.orgのパスワードはすべて強制的にリセットすることにしたという。ユーザーには以前と違うパスワードに変更するよう促し、複数のサービスの間で同じパスワードを使い回すことのないよう念を押している。

関連キーワード

WordPress | バックドア


Copyright © ITmedia, Inc. All Rights Reserved.