EssentialPluginパッケージ内の30以上のWordPressプラグインが悪意のあるコードで侵害され、それらを使用しているウェブサイトへの不正アクセスが可能になっています。 悪意のある攻撃者は昨年バックドアコードを導入しましたが、最近になってアップデートを通じてユーザーに配布を開始し、コマンド＆コントロール（C2）サーバーからの指示に基づいてスパムページやリダイレクトを生成していました。 この侵害は、数百万人ものアクティブインストールを持つプラグインに影響を与えており、マネージドWordPressホスティングプロバイダーAnchor Hostingの創設者であるAustin Ginder氏が、第三者アクセスを許可するコードを含むアドオンに関する情報提供を受けた後に発見しました。 Ginder氏によるさらなる調査により、EssentialPluginパッケージ内のすべてのプラグインに、2025年8月以降、プロジェクトが6桁の取引で新しいオーナーに買収された後、バックドアが存在していたことが明らかになりました。 2015年にWP Online Supportとして設立され、2021年にリブランドされたEssentialPluginは、スライダー、ギャラリー、マーケティングツール、WooCommerce拡張機能、SEO/分析ユーティリティ、テーマを提供するWordPress開発企業です。 Ginder氏によると、バックドアは最近まで非アクティブでしたが、外部インフラにサイレントに連絡してファイル（'wp-comments-posts.php'）を取得し、'wp-config.php'にマルウェアを注入するようになりました。 ダウンロードされたマルウェアは、サイト所有者から見えないように設計されており、回避のためにEthereumベースのC2アドレス解決を使用しています。受信した指示に応じて、マルウェアは「スパムリンク、リダイレクト、偽ページ」を取得できます。 「注入されたコードは洗練されていました。コマンド＆コントロールサーバーからスパムリンク、リダイレクト、偽ページを取得しました。スパムはGooglebotにのみ表示され、サイト所有者には見えませんでした」とGinder氏は[説明しています](https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/)。 WordPressセキュリティプラットフォームPatchStackによる分析[によると](http://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/)、バックドアは'analytics.essentialplugin.com'エンドポイントが悪意のあるシリアライズされたコンテンツを返した場合にのみ機能していました。 ### WordPressの対応と感染状況 WordPress.orgは、悪意のあるアクティビティの報告に対して迅速に対応し、プラグインを閉鎖し、バックドアの通信を無効化し、実行パスを無効化するための強制アップデートをウェブサイトにプッシュしました。 しかし、開発者はこの措置ではウェブサイトをデータベースに接続し、重要な設定を含むwp-configコア設定ファイルはクリーンアップされないと警告しました。 WordPress.orgプラグインチームは、EssentialPlugin製品を実行している管理者に対し、バックドアの既知の場所の1つは正規の`wp-comments-post.php`に似た`wp-comments-posts.php`という名前のファイルですが、マルウェアは他のファイルにも隠れている可能性があると注意を促しました。 BleepingComputerは、買収後に発生した報告された悪意のあるコミットについてEssentialPluginsにコメントを求めていますが、発行時点では回答を得られていません。