Wordfenceのアナリストは、ここ数日で16,000のIPから発信され、160万以上のWordPressサイトを標的とした大規模な攻撃を検知したと報告しています。
本日2021年12月9日、脅威インテリジェンスチームは、攻撃者が脆弱なサイトで任意のオプションを更新できる脆弱性を狙った攻撃が急激に増加していることに気づきました。これを受けて調査を行ったところ、100万以上のWordPressサイトを対象とした活発な攻撃が発覚しました。過去36時間の間にWordfenceは、160万以上のサイトで、16,000以上の異なるIPアドレスから発信された、4つの異なるプラグインと複数のEpsilon Frameworkテーマを標的とした1,370万以上の攻撃をブロックしました。
脅威グループは、4つのWordPressプラグインと15のEpsilon Frameworkテーマを標的としており、そのうちの1つには利用可能なパッチがありません。
標的とされたプラグインの中には、2018年にずっとパッチが当てられていたものもあれば、今週に入ってから脆弱性に対処されたものもあります。
影響を受けたプラグインとそのバージョンは
- PublishPress Capabilities
- Kiwi Social Plugin
- Pinterest Automatic
- WordPress Automatic
対象となるEpsilon Frameworkのテーマは以下の通り
- Shapely
- NewsMag
- Activello
- Illdy
- Allegiant
- Newspaper X
- Pixova Lite
- Brilliance
- MedZone Lite
- Regina Lite
- Transcend
- Affluent
- Bonkers
- Antreas
- NatureMag Lite – パッチなし
ほとんどの場合、攻撃者はusers_can_registerオプションをenabledに更新し、default_roleオプションをadministratorに設定しています
これにより、攻撃者はどんなサイトでも管理者として登録し、効果的にサイトを乗っ取ることが可能になります。
チェック、アップデート、消去
サイトがすでに侵害されているかどうかを確認するには、すべてのユーザーアカウントを確認し、すぐに削除すべき不正な追加がないかどうかを調べます。
次に、「http://examplesite[.]com/wp-admin/options-general.php」にあるサイトの設定を確認し、「メンバーシップ」と「新規ユーザーのデフォルトロール設定」を確認します。
上記リストに入っていなくても、プラグインやテーマは早めにアップデートすることをお勧めします。
修正プログラムが存在しないNatureMag Liteを使用している場合は、すぐにアンインストールしてください。
なお、サイトがすでに侵害されている場合、プラグインを更新しても脅威を取り除くことはできません。
この場合は、まず詳細なクリーンアップガイドにある指示に従うことが推奨されています。
通常、wp-content/plugins/ ディレクトリにあるものをすべて削除しても、データが失われたり、サイトが壊れたりすることはありません。なぜなら、これらは再インストール可能なプラグインファイルであり、WordPress はプラグインを削除したかどうかを自動的に検出して無効化するからです。
ただ、個別のファイルではなくwp-content/plugins のディレクトリ全体を削除するようにしてください。 例えば、Wordfence プラグインを削除したい場合は、wp-content/plugins/wordfence とそのディレクトリ内のすべてのファイルを削除する必要があります。
プラグインのいくつかのファイルを削除しただけでは、サイトが動作しない状態になってしまいます。
通常、サイトで使われているテーマディレクトリは、wp-content/themes ディレクトリの中に一つだけあります。
このディレクトリがわかれば、他のテーマディレクトリをすべて削除することができます。
「子テーマ」を使用している場合は、wp-content/themes に 2 つのディレクトリを使用している可能性があるので注意してください。
wp-admin と wp-includes ディレクトリに新しいファイルが追加されることはほとんどありません。
そのため、これらのディレクトリに何か新しいものを見つけたら、それは悪意のあるものである可能性が高いのです。
古いWordPressのインストールやバックアップに注意
古いWordPressのインストールやバックアップに注意してください。
サイトを最新の状態に保ち、セキュリティプラグインをインストールしていたのに、なぜハッキングされたのか?? このようなケースでは、開発者が、すべてのサイトファイルのコピーをウェブからアクセス可能な/old/などのサブディレクトリにバックアップしていることがあります。
このバックアップは管理されておらず、メインサイトが安全であってもハッカーがそこに入り込み、感染させ、仕掛けられたバックドアからメインサイトにアクセスすることができます。
そのため、古いWordPressを放置せず、もしハッキングされた場合はマルウェアが入っている可能性が高いので、まずそれらをチェックしましょう。
一般的に、WordPressサイトのプラグインの数は必要最小限に抑えるようにしてください。そうすることで、標的にされたり、そもそもハッキングされたりする可能性を劇的に減らすことができます。
Comments