トップ セキュリティ情報 2018年度 【緊急連絡】WordPressのプラグインDuplicatorの脆弱性に関する注意喚起

【緊急連絡】WordPressのプラグインDuplicatorの脆弱性に関する注意喚起

2018年9月12日 南大沢 日野 荒川

WordPressの注意喚起です。
既にこの脆弱性をついた改ざん事例が発生しています。
 ※ WordPressとは、ホームページやブログを管理するソフトウェアのひとつです。

【対象】
 <システム担当者、HP及びブログの管理者>が対象となります。
 
WordPress のプラグイン Duplicatorを利用している場合は
修正バージョンにアップデートしてください。

--------------------------------------------------------------------
●概要
・ブログソフトウェアのWordPressのプラグイン Duplicatorの脆弱性が判明しました。
 すでに攻撃コードが出回っており、サイト改ざんの事案も発生しています。
 Duplicatorは、サイト移行時や複製(テストサーバ→本番サーバへの移行)などに
 利用されている可能性があります。

●対処方法
 脆弱性を修正したバージョンが公開されています。
 至急、≪修正バージョンの適用≫の検討をお願いします。
  Duplicator 1.2.42(2018年9月8日現在の最新版)

 また、当該プラグインのバージョンアップ前(Duplicator 1.2.40 以前)に生成
 された以下のファイルが残存していると悪用されることを確認しています。
 バージョンアップ作業だけでなく、必ず以下のファイルの削除も実施してください。
  installer.php
  installer-backup.php