WordPressで広く利用されているバックアッププラグイン「UpdraftPlus」において、深刻な脆弱性が発見され、現在活発なサイバー攻撃の標的となっています。この脆弱性は、未認証の攻撃者が管理者権限をバイパスし、サーバー上で任意のコードを実行(RCE)できる可能性があるため、緊急の対応が必要です。300万以上のWordPressサイトがこの脅威に晒されており、過去24時間だけで数千件の攻撃試行が確認されています。
脆弱性の概要と影響範囲
この脆弱性は、UpdraftPlusプラグインのバージョン1.26.4およびそれ以前に存在します。特に「Migratorキー」(有料版の機能)が有効になっているサイトが影響を受けます。プラグインの特定の機能における認証不備を悪用することで、攻撃者は認証なしにリモートコマンドを偽装し、管理者として振る舞うことが可能になります。これにより、悪意のあるプラグインのアップロードと有効化、ひいてはウェブサーバー上でのリモートコード実行に繋がる恐れがあります。
脆弱性が悪用された場合、サイトが完全に侵害され、データの窃取、改ざん、マルウェアの埋め込み、Webシェル展開など、広範囲にわたる深刻な被害が発生する可能性があります。
具体的な影響・攻撃シナリオ
攻撃者は、細工されたリクエストを送信することでUpdraftPlusの認証プロセスを迂回します。成功すると、攻撃者はWordPressサイトの管理者権限を乗っ取り、任意のPHPコードを含む悪意のあるWordPressプラグインをアップロードしてアクティベートできます。これにより、サーバーへのバックドアが作成され、攻撃者は永続的なアクセスと完全な制御を獲得します。Wordfenceによると、この脆弱性を狙った攻撃は過去24時間で8,172件ブロックされており、活発な悪用が確認されています。
エンジニアが今すぐ取るべき対策
最も重要な対策は、UpdraftPlusプラグインを**直ちにバージョン1.26.5以降にアップデートすること**です。UpdraftPlus開発元は既にこの脆弱性に対処したパッチをリリースしています。 自動アップデートが無効になっている場合や、何らかの理由で即座のアップデートが困難な場合は、以下の緩和策を検討してください。
nginxの設定でWordPressの管理ディレクトリへのアクセスを制限する例:
location ^~ /wp-admin/ {
# 信頼できるIPアドレスからのアクセスのみを許可
allow XXX.XXX.XXX.XXX; # あなたのIPアドレスに置き換える
deny all;
# PHPファイルの実行を制限(必要に応じて)
location ~ \.php$ {
try_files $uri =404;
fastcgi_pass unix:/var/run/php/php8.2-fpm.sock; # PHP-FPMのソケットパスは環境に合わせて変更
fastcgi_index index.php;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
このNginx設定は、`/wp-admin/`ディレクトリへのアクセスを特定のIPアドレスに限定し、悪意のあるアクセスをブロックするのに役立ちます。また、WAF(Web Application Firewall)を導入している場合は、未知の不正なリクエストパターンを検知・ブロックするようルールを強化することも有効です。
📦