サイトアイコン Capital P

他サービスのデータ流出によりWordPressプラグイン作者全員のパスワードが強制リセットへ

2024年6月23日に判明したのだが、他ウェブサイトで流出したアカウント情報を利用した辞書型攻撃により、WordPressプラグイン作者のアカウントがクラックされた。この結果、公式ディレクトリにある5つのプラグインに悪意のあるコードが仕込まれ、プラグインチームはこれらのプラグインのアップデートを停止したようだ。詳細はmakeブログ“Keeping Your Plugin Committer Accounts Secure”に記載されている。なお、流出した他ウェブサイトについての情報は記載されていない。

これを受けて6月28日に、プラグインチームはすべてのプラグイン作者アカウントのパスワードをリセットした。筆者も試しにログインを試みたが、アカウントがロックされていた。辞書型攻撃によって流出しうるプラグイン作者の数が5件と決まったわけではないので、最大限の安全性を担保するための処置だろう。

筆者のようにプラグインを公式ディレクトリにあげている人は以下のような処理を行う必要がある。

  1. WordPress.orgのパスワードをリセットする。
  2. CI/CDなどを設定している場合はそのパスワードも変更する

後者が特に面倒なのだが、これを機に統一的なやり方をめざすとよいだろう。makeブログでおすすめされている方法は次のとおり。

つい先日、日本でもKADOKAWAグループのデータ漏洩が話題になっているが、こういった外部データが利用される可能性がなくはない。漏洩したデータはダークウェブなどで流通しているそうなので、認証情報の管理にはくれぐれも慎重になっておこう。

モバイルバージョンを終了