オープンソースのブログ作成ソフト「WordPress」向けの人気プラグインに悪質なコードが仕込まれているのが見つかり、開発チームがWordPress.orgの全ユーザーにパスワードのリセットを促している。
WordPress.orgのブログによると、複数のプラグインに不審な動作が見られたため調べたところ、「AddThis」「WPtouch」「W3 Total Cache」の各プラグインから、巧妙な手口で隠されたバックドアが見つかった。バックドアを仕込んだのは各プラグインの作者ではないと開発チームは見ている。
問題の発覚を受けて、これらプラグインは提供を中止するとともに、アップデートをプッシュ配信する措置を取った。プラグインのリポジトリは一時的に閉鎖し、問題のあるプラグインがほかにないかどうかを調べているという。
どのような経緯でバックドアが混入したのかは現時点では不明だが、予防的措置として、WordPress.orgのパスワードはすべて強制的にリセットすることにしたという。ユーザーには以前と違うパスワードに変更するよう促し、複数のサービスの間で同じパスワードを使い回すことのないよう念を押している。
関連記事
- WordPress.comに不正アクセス、ソースコードなどの情報が流出
WordPress.comを運営するAutomatticのサーバが不正アクセスされ、ソースコードが「社外秘」の部分も含めて流出した恐れがあるという。 - WordPressに極めて大規模なDDoS攻撃、背景に政治的動機か
WordPress.comが大規模な分散側サービス妨害(DDoS)攻撃を受け、一部ユーザーのブログが障害に見舞われた。 - iOS版WordPressが日本語化 手軽な写真投稿機能も追加
ブログ作成ソフトWordPressのiOS版が日本語化され、撮影した写真にタイトルとコメントを付けて投稿できるQuick Photoボタンが付いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.