WordPressのプラグイン「WP Mobile Detector」の脆弱性を突く攻撃が発生していたことが5月31日に判明しました。
このプラグインは、デバイスの種類を検出してスマートフォンなどに最適化されたWordpressテーマを表示するためのもので、1万を超えるウェブサイトで使用されていると言われています。
2日に更新されたセキュリティ企業Sucuriのブログによると、Webサイトのポルノスパムの感染被害が5月末ごろから急増。その原因を調べたところ、被害に遭ったWebサイトはいずれもこのプラグインを使っていたことが明らかになり、同プラグインに任意のファイルをアップロードできてしまう脆弱性があることが判明しました。
この脆弱性は、「allow_url_fopen」のオプションが有効になっている場合に影響を受け、悪用されればWebサイトを制御される恐れがあります。
問題の発覚を受け同プラグインはWordPressのプラグインディレクトリから一時的に削除されましたが、脆弱性を修正する更新版のバージョン3.7が6月2日に公開されており、現在は復旧しています。
なお、このプラグインを利用しているユーザーはバージョン3.6か3.7にアップグレードする必要があり、いずれかのバージョンにアップグレードすれば今回の脆弱性を悪用した攻撃の影響を受けることはありません。