Malwarebytesはこのほど、「Malware targets 30 unpatched WordPress plugins」において、パッチが適用されていないWordPressプラグインがサイバー攻撃の標的にされていると伝えた。30以上のパッチが適用されていない脆弱性を持つプラグインが悪用されていると報告している。

Malware targets 30 unpatched WordPress plugins

パッチが適用されていない脆弱性が存在するとされているWordPressプラグインまたはテーマは次のとおり。

WP Live Chat Support Plugin

WordPress Yuzo Related Posts

Yellow Pencil Visual Theme Customizer Plugin

Easysmtp

WP GDPR Compliance Plugin

Newspaper Theme on WordPress Access Control

Thim Core

Google Code Inserter

Total Donations Plugin

Post Custom Templates Lite

WP Quick Booking Manager

Facebook Live Chat by Zotabox

Blog Designer WordPress Plugin

WordPress Ultimate FAQ

WP-Matomo Integration (WP-Piwik)

WordPress ND Shortcodes For Visual Composer

WP Live Chat

Coming Soon Page and Maintenance Mode

Hybrid

Brizy WordPress Plugin

FV Flowplayer Video Player

WooCommerce

WordPress Coming Soon Page

WordPress theme OneTone

Simple Fields WordPress Plugin

WordPress Delucks SEO plugin

Poll, Survey, Form & Quiz Maker by OpinionStage

Social Metrics Tracker

WPeMatico RSS Feed Fetcher

Rich Reviews plugin

上記のWordPressプラグインまたはテーマを利用した脆弱性のあるWebサイトが攻撃者に検出された場合、不正なスクリプトが注入されるとのことだ。侵害されたWebサイトのどこかのページをクリックすると、注入されたスクリプトによって悪意のあるWebサイトにリダイレクトされることが判明している。

WordPressのユーザーは脆弱性が存在するとされているプラグインやテーマがないか確認するとともに、パッチが適用された最新版へのアップデートを実施することや更新されていないプラグインがある場合は速やかに削除することが推奨されている。