WordPressサイトがまた大規模ハック——今度はサプライチェーン経由

· security coding · Source ↗

Summary based on the YouTube transcript and episode description.

Fireshipが解説:Flippaで10万ドルで買収した31本のWordPressプラグインが、8ヶ月間潜伏するバックドアに変えられた手口。

  • 攻撃者はFlippaで31本のWordPressプラグインを数十万ドル規模で買収し、バックドアを仕込んだまま8ヶ月間休眠させた。
  • 悪意あるコードは「信頼済みの正規プラグイン更新」として配信されたため、通常の監視をすり抜けた。
  • C2(コマンド&コントロール)ドメインはEthereumスマートコントラクト経由で解決される仕組みにより、発覚後も即座に新ドメインへ切り替えられた。
  • ペイロードはwp-config.phpを改ざんし、影響を受けたサイトのDBクレデンシャルとセキュリティキーを露出させた。
  • WordPressの脆弱性の96%はプラグインシステムに起因する——PHPはサンドボックスなしでサーバーの全権限で動作する。
  • CloudflareのEmDashはWordPressをAI生成のJavaScriptでAstro上に書き直し、各プラグインを独自のWorkerに閉じ込めてケイパビリティベースのバインディングで分離する。
  • Matt Mullenweg対WP Engineの訴訟(名誉毀損)は、WordPressロゴ使用に対する売上8%要求をめぐる対立を発端に現在も継続中。

2026-04-16 · YouTubeで視聴

英語版: Millions of WordPress sites just got hacked… again · Watch on YouTube

あわせて読みたい