2024年6月23日に判明したのだが、他ウェブサイトで流出したアカウント情報を利用した辞書型攻撃により、WordPressプラグイン作者のアカウントがクラックされた。この結果、公式ディレクトリにある5つのプラグインに悪意のあるコードが仕込まれ、プラグインチームはこれらのプラグインのアップデートを停止したようだ。詳細はmakeブログ“Keeping Your Plugin Committer Accounts Secure”に記載されている。なお、流出した他ウェブサイトについての情報は記載されていない。
これを受けて6月28日に、プラグインチームはすべてのプラグイン作者アカウントのパスワードをリセットした。筆者も試しにログインを試みたが、アカウントがロックされていた。辞書型攻撃によって流出しうるプラグイン作者の数が5件と決まったわけではないので、最大限の安全性を担保するための処置だろう。
筆者のようにプラグインを公式ディレクトリにあげている人は以下のような処理を行う必要がある。
- WordPress.orgのパスワードをリセットする。
- CI/CDなどを設定している場合はそのパスワードも変更する
後者が特に面倒なのだが、これを機に統一的なやり方をめざすとよいだろう。makeブログでおすすめされている方法は次のとおり。
- コミットできるユーザーを管理し、定期的に見直す
- リリース確認メールを受け取る。これはオプトイン機能だが、プラグインがアップデートされるとメールが届く。もし意図しないアップデートがあった場合はいち早く気づくことができる。
- パスワードを強固にする。20文字以上で英数記号を混ぜ、予測可能な単語などを含まないこと。
- パスワードを使いまわさない。
- (複雑なパスワードは覚えられないので)パスワード管理ツールを使う。
- 2要素認証を使う
つい先日、日本でもKADOKAWAグループのデータ漏洩が話題になっているが、こういった外部データが利用される可能性がなくはない。漏洩したデータはダークウェブなどで流通しているそうなので、認証情報の管理にはくれぐれも慎重になっておこう。