90万以上のウェブサイトで使用されている**WordPress**用**Smart Slider 3**は、ハッカーがアップデートシステムを乗っ取った後、大規模なセキュリティ侵害を受けました。特にProバージョン3.5.1.35に影響を与えた悪意のあるアップデートは4月7日に配布され、多数のウェブサイトが侵害された可能性があります。ユーザーは直ちにバージョン3.5.1.36にアップデートするか、3.5.1.34以前に戻すことが強く推奨されます。 ### 多層的なマルウェア **PatchStack**による分析によると、注入されたマルウェアは、プラグインのメインファイルに埋め込まれた洗練された多層的なツールキットです。これはプラグインの通常の機能を維持しながら、いくつかの重大な脆弱性を導入します。 * 細工されたHTTPヘッダーを介した認証なしのリモートコマンド実行。 * PHP evalおよびOSコマンド実行を備えた認証済みバックドア。 * 自動化された認証情報窃盗。  *隠し管理者アカウントの作成* *出典: PatchStack* ### 持続化メカニズム マルウェアは、セキュリティ対策が講じられた後でも、その継続的な運用を保証するために複数の持続化レイヤーを採用しています。 * **隠し管理者アカウント:** データベースに保存された認証情報を持つ隠し管理者アカウントの作成。 * **'mu-plugins' ディレクトリ:** 'mu-plugins' ディレクトリと、正規のキャッシュコンポーネントを装った必須プラグインの作成。これらのプラグインは自動的にロードされ、WordPressダッシュボードから無効にすることはできません。 * **テーマバックドア:** アクティブなテーマの*functions.php*ファイルへのバックドアの注入。これはテーマがアクティブである限り持続性を保証します。 * ***wp-includes* ディレクトリへの注入:** 正規のWordPressコアクラスを模倣したPHPファイルが*wp-includes*ディレクトリに注入されます。このバックドアは、データベースの認証情報変更をバイパスするために`.cache_key`ファイル認証に依存します。 ### Joomlaインストールも影響を受ける ベンダーは**Joomla**インストールに対しても同様の警告を発しており、プラグインのバージョン3.5.1.35が隠し管理者アカウント（通常は*wpsvc_*プレフィックス付き）を作成し、`/cache`および`/media`ディレクトリに追加のバックドアをインストールする可能性があると述べています。また、サイト情報と認証情報も盗みます。 ### 推奨される対策 悪意のあるアップデートは4月7日に配布されました。**Smart Slider**チームは、タイムゾーンの違いを考慮して4月5日以前のバックアップから復元することを推奨しています。バックアップがない場合は、侵害されたプラグインを削除し、クリーンなバージョン（3.5.1.36）をインストールしてください。 侵害されたプラグインバージョンを見つけた管理者は、サイト全体の侵害を想定し、以下の対策を講じる必要があります。 * 悪意のあるユーザー、ファイル、データベースエントリを削除する。 * 信頼できるソースからWordPressコア、プラグイン、テーマを再インストールする。 * すべての認証情報（WP、DB、FTP/SSH、ホスティング、メール）をローテーションする。 * WordPressセキュリティキー（ソルト）を再生成する。 * 残存するマルウェアをスキャンし、ログを確認する。 ベンダーは、WordPressおよびJoomla向けの包括的な手動クリーンアップガイドを提供しています。これには以下が含まれます。 * サイトをメンテナンスモードにし、バックアップを作成する。 * 不正な管理者ユーザーを削除する。 * すべての悪意のあるコンポーネントを削除する。 * すべてのコアファイル、プラグイン、テーマを再インストールする。 * すべてのパスワードをリセットする。 * 追加のマルウェアをスキャンする。 最終的な推奨事項には、2要素認証（2FA）を有効にする、コンポーネントを更新する、管理者アクセスを制限する、強力でユニークなパスワードを使用するなど、サイトの強化が含まれます。