WordPressサイト数百万件がまたハック——Flippa買収が仕掛けたサプライチェーン型バックドア

Fireshipが解説：Flippaで10万ドル規模の買収をきっかけに、31本のWordPress pluginが8カ月間休眠状態のサプライチェーンバックドアとなっていた経緯。

• 攻撃者はFlippaで31本のWordPress pluginを数十万ドル規模で買収し、バックドアを仕込んだ。そのコードは発覚まで8カ月間休眠していた。
• 悪意あるコードは信頼済みのソースからの正規のpluginアップデートとして配信されたため、通常の検知をすり抜けた。
• C2（コマンド&コントロール）ドメインはEthereumスマートコントラクト経由で解決される仕組みになっており、発覚後すぐに新しいドメインへ切り替え可能だった。
• ペイロードはwp-config.phpを改ざんし、影響を受けたサイトのデータベース認証情報とセキュリティキーを露出させた。
• WordPressの脆弱性の96%はpluginシステムに起因する。PHPはサーバー権限をフルに持ち、サンドボックスが存在しない。
• CloudflareのEmDashは、WordPressをAI生成のJavaScriptでAstro上に書き直し、各pluginを独立したWorkerにサンドボックス化してcapabilityベースのバインディングで制御する。
• Matt Mullenweg対WP Engineの訴訟（名誉毀損）は、WordPressロゴ使用に対する売上8%要求をめぐる対立を発端に現在も継続中。

2026-04-16 · YouTubeで視聴

英語版: Millions of WordPress sites just got hacked… again · Watch on YouTube