わたしも案件の半分以上が使用しているWordpress。イスラム国がWordpressのプラグイン「Fancybox for WordPress」の不具合を狙ってウェブサイト改ざんをしたという事例が発生していました。
「イスラム国」マーク、管理ソフトの不具合狙う(読売新聞2015年3月11日)
複数のインターネットサイトが改ざんされ、イスラム過激派組織「イスラム国」のものとみられるマークが表示される被害が相次いだ問題で、警察庁は11日、サイト管理者が利用するソフト「Fancybox for WordPress」の不具合が狙われ、ホームページ(HP)が書き換えられた可能性が高いと発表した。
ソフトを最新バージョンに更新すれば、被害には遭わないという。
警察庁によると、東京都内のフットサルクラブや兵庫県の西宮観光協会など八つのHPが被害に遭った。
プラグイン「Fancybox for WordPress」は投稿内のイメージやテキストを、エフェクトを使って表示させられるプラグイン。
Fancybox for WordPress
PCからネットを使う方であれば、ほとんどの方が見たことがあるようなエフェクト。導入が簡単なのでよく活用していました。
このブログ執筆時点でバージョン3.0.6となっていますが、3.0.3にてFixed Security issueとなっているので、それ以前のバージョンを使っている方はぜひアップデートしましょう。
プラグインのバグから、サイト乗っ取り
WordPressはオープンソースであり簡単であり、世界中で広く使われているだけに、攻撃の対象となり得ることはわかります。
そしてこういったメジャーな開発者のプラグインであっても(むしろだからこそ)、バグからサイトの乗っ取りにまで発展しうるということに、管理の大切さを感じます。
このプラグインだけだはないと思いますので、最低でもアップデート管理は徹底しましょう。
沖縄県与那原町在住。ICT企業のウェブ部門担当、事業会社のインハウスデザイナーを経験。2012年より独立し、企業のウェブ制作、運用を専門に展開。 ロードバイクと山とコーヒーにこだわりを持つ。
