複数のコンテンツ管理システム(CMS)にまたがる既知の脆弱性を悪用する大規模な攻撃キャンペーンが確認されており、中でもWordPressプラグインが主要な攻撃対象となっています。
サイバー攻撃者はインターネット上で脆弱なサイトをスキャンし、未認証のファイルアップロード、リモートコード実行(RCE)、サーバーサイドリクエストフォージェリ(SSRF)、デシリアライゼーションの各脆弱性を連鎖的に悪用し、永続的なリモートアクセスを可能にするウェブシェルを設置しています。
オーストラリアの中小企業を含む世界中の組織で、脅威アクターが脆弱性の公表を実際の侵害へと迅速に転用したことによる具体的な被害がすでに確認されています。
ウェブシェルが設置されると、攻撃者はリモートでコマンドを実行し、内部ネットワークへの侵入拠点を広げ、追加のマルウェアを展開し、データを窃取し、サイト利用者が入力した認証情報を収集できるようになります。
侵害の証拠がない限り安全とみなさず、直ちに対策とインシデント対応を講じる必要があります。ASD(オーストラリア信号局)のACSC(オーストラリアサイバーセキュリティセンター)によるガイダンスは明確で、特にプラグインフォルダ内を中心にウェブディレクトリ内の不審なファイルを確認するよう求めています。
典型的なウェブシェルのパスを狙った不審なGETまたはPOSTリクエストがないか、ウェブアクセスログを確認してください。そして、ウェブシェルが発見されたサーバーは侵害されたものとして扱い、隔離、ログの保全、認証・ネットワーク活動の全面的な監査を実施する必要があります。
攻撃者たちは侵害したサイトをサイト改ざん、詐欺サイトのホスティング、さらなる侵入の足掛かりとして再利用しています。この攻撃キャンペーンの速度と規模は、ファイブアイズのサイバーセキュリティ機関トップらが最近示した警告と軌を一にするものです。ACSCは述べています。
調査担当者は初期侵入の痕跡を追跡し、永続化の仕組みを探し、横展開やデータ窃取の兆候を調査する必要があります。
WordPressプラグインの脆弱性
可能であれば、直近の正常な状態のバックアップから復元し、サービスを再開する前に検出されたマルウェアや永続化の痕跡を除去または隔離してください。
| ソフトウェア/プラグイン | CVE |
|---|---|
| Simple File List (WordPress) | CVE-2025-34085/CVE-2020-36847 |
| WavePlayer (WordPress) | CVE-2025-12057 |
| BerqWP (WordPress) | CVE-2025-7443 |
| WPBookit (WordPress) | CVE-2025-7852 |
| Ninja Forms (WordPress) | CVE-2026-0740 |
| ThemeREX Addons (WordPress) | CVE-2026-1969 |
| Breeze Cache (WordPress) | CVE-2026-3844 |
| pay-uz (WordPress) | CVE-2026-31843 |
| ACF Extended (WordPress) | CVE-2025-13486 |
| Sneeit Framework | CVE-2025-6389 |
| WPvivid Backup (WordPress) | CVE-2026-1357 |
| Gravity Forms (WordPress) | CVE-2025-12352 |
| GutenKit/Hunk Companion (WordPress) | Likely CVE-2024-9234 |
| Craft CMS | CVE-2025-32432 |
| MaxSite CMS | CVE-2026-3395 |
| MetInfo CMS | CVE-2026-29014 |
| Joomla JCE | CVE-2026-48907 |
予防策自体は単純かつ効果的です。これらはいずれも修正版が公開されている既知のCVEですので、ベンダーが提供するパッチを速やかに適用し、ロールバックが管理可能な範囲であれば自動パッチ適用も検討してください。
インターネットに公開されたCMSインスタンスを運用している組織は、影響を受けるコンポーネントの洗い出しを優先し、パッチ適用を加速させ、説明のつかないウェブ上の挙動はすべて悪意あるものとして扱うべきです。
悪用が確認されているプラグインは、パッチが適用されるまで無効化または削除してください。ウェブディレクトリを可能な限り読み取り専用にし、ファイルおよびパスへのアクセスを制限し、承認されていないファイル作成を監視・ブロックすることで、ウェブサーバーを堅牢化してください。
ウェブサーバーのバイナリから予期しない子プロセスが生成された場合に検知できるよう、プロセス監視の仕組みを導入してください。また、インターネットに公開されたホスト上で実行可能なプロセスを制限するために、アプリケーション制御の導入も検討してください。
最後に、侵害されたサイトが及ぼす被害範囲を縮小するため、ウェブサーバーと内部システム間のネットワーク通信を分離・制限してください。
2019年時代のSOC向けに書かれたSLAはもう卒業しませんか – 2026年版AI SLA ベンダーチェックリストはこちら – 無料の AI SOC SLAガイドをダウンロード
翻訳元: https://gbhackers.com/wordpress-plugin-vulnerabilities/