「Quick Page/Post Redirect Plugin」という人気のあるWordPressアドオンに、長年眠っていたバックドアが発見されました。70,000以上のアクティブなインストール数があります。
特にバージョン5.2.3の改ざんされたプラグインには、2つの異なる悪意のある機能が含まれていました。
まず、パッシブなコンテンツ注入メカニズムを備えていました。ログアウトしたユーザーが表示するすべてのページで、プラグインはサードパーティサーバー(w.anadnet.com)に接続し、Webサイトのコンテンツに隠されたテキストを挿入しました。
このコードはログアウトしたユーザーに対してのみ実行されたため、サイト管理者は注入されたコンテンツを見ることはありませんでした。寄生SEOとして一般的に知られているこの戦術により、攻撃者は秘かに検索エンジンのランキングを奪い取ることができました。
次に、プラグインはリモートコード実行を可能にするアクティブなバックドアを含んでいました。カスタム更新チェッカーライブラリが含まれており、プラグインに公式のWordPress.orgリポジトリの代わりにanadnet.comで更新を探すことを強制しました。
これにより、リモートサーバーはルーチンプラグイン更新の装いの下に完全に隠れて、フル管理者権限で任意のコードをインストールできるようになりました。
セキュリティ研究者Austin Ginderによって発見されたこの侵害されたプラグインは、5年以上にわたって不正な更新サーバーを使用して悪意のあるコードを静かに配信し、Webサイトに隠されたコンテンツを注入していました。
ステルス的なサプライチェーン攻撃
この攻撃のタイムラインは、「anadnet」というユーザー名で活動するプラグインの作成者によって実行された、綿密に計画されたサプライチェーン侵害を明らかにしています。
2020年10月、著者は不正な更新チェッカーを公式のWordPressリポジトリに追加しました。
数ヶ月後の2021年2月、彼らはメインコードからカスタムアップデータを静かに削除しました。しかし、何千ものウェブサイトはすでにコードをダウンロードしており、攻撃者のサーバーに秘かに指向していました。
2021年3月、攻撃者の更新サーバーはバックドアされたバージョン5.2.3をそれらの脆弱なサイトにプッシュしました。
コマンド&コントロールサーバーが最終的にオフラインになり、バックドアを休止状態にしたが、悪意のあるコードは感染したサーバーに永久に組み込まれたままで、攻撃者がドメインを再度アクティブ化するのを待っていました。
バックドアは実際のファイルが大きく異なっていたにもかかわらず、感染したサイトのバージョン番号(5.2.3)が公式のWordPress.orgバージョンと完全に一致していたため、数年間検出されませんでした。バージョン文字列が一致していたため、標準的な脆弱性スキャナーは脅威を見落としました。
この改ざんを検出するには、管理者はファイルハッシュを検証する必要があります。最も効果的な方法は、組み込みのWordPressコマンドラインツール(WP-CLI)を使用することです。
コマンド wp plugin verify-checksums quick-pagepost-redirect-plugin を実行すると、ローカルファイルを公式のWordPress.orgレコードと比較し、不正な変更にフラグを付けます。
Quick Page/Post Redirect Pluginを実行している場合、セキュリティの専門家はすぐにアンインストールすることを強くお勧めします。管理者は「Redirection」や「Safe Redirect Manager」などの積極的に保守されている安全な代替案に切り替える必要があります。
Ginderの脅威インテリジェンスレポートに続いて、WordPress.orgプラグインレビューチームは2026年4月14日にQuick Page/Post Redirect Pluginを公式に閉鎖しました。
新しいダウンロードはブロックされていますが、70,000の既存インストールは、サイト管理者がそのフリートから侵害されたソフトウェアを手動で削除するまでリスクがあります。
翻訳元: https://gbhackers.com/backdoored-wordpress-plugin-abuses-remote-update-checker/
