WordPressサイトの記事が突然初期化された

突然、Wordpressサイトが初期化されたとの依頼が来ました。

【現象】
・サイト内容が突然リセット化されている(コンテンツ内容が全て表示されていない)
・WordPress ダッシュボードにログインできなくなった
・ログインパスワードを再発行しようとしても「ユーザー名が存在しない」となってしまう

「そんなことあるはずないだろう。」と思いつつ依頼者のデータベースを確認すると、確かにWordpressをインストールした直後の状態になっており記事が消えておりました。

念のため、データベースのサンプル記事の作成時刻より、サーバーのアクセスログを確認すると、、、、

www.xxxxxx.com XXX.XXX.XXX.XXX – – [19/Feb/2020:14:49:39 +0900] “GET /wp-admin/admin-ajax.php?action=demo-importer&do_reset_wordpress=true HTTP/1.1″ 302 0 “-” “mozilla”
www.xxxxxx.com XXX.XXX.XXX.XXX – – [19/Feb/2020:14:49:41 +0900] “GET /wp-admin/themes.php?page=demo-importer&browse=all&reset=true HTTP/2.0″ 403 2863 “-” “mozilla”


「ん?、”do_reset_wordpress”と外部よりリセットしたようなログがあるぞ!!」

ログの中にある「ThemeGrill Demo Importer(=demo-importer)」というプラグインがインストールされており、このプラグインが原因のようです。

直ちに依頼者に連絡し「ThemeGrill Demo Importer」を無効にしてもらい、類似の現象が報告されていないか探したところ、、、

ありました!「ThemeGrill Demo Importer」の脆弱性が報告されていましたので、その和訳を載せておきます。バージョン1.6.2では改修されているようです。

Critical Bug in WordPress Theme Plugin Opens 200,000 Sites to Hackers

200,000を超えるアクティブなインストールが行われている人気のあるWordPressテーマプラグインには、深刻であるが簡単に悪用されるソフトウェアの脆弱性が含まれています。
問題の脆弱なプラグインは「ThemeGrill Demo Importer」で、ソフトウェア開発会社ThemeGrillが販売する無料のテーマとプレミアムテーマが付属しています。
ThemeGrill Demo Importerプラグインは、WordPressサイト管理者がThemeGrillからデモコンテンツ、ウィジェット、設定をインポートできるように設計されており、テーマをすばやく簡単にカスタマイズできます。

The Hacker Newsと共有しているWebARXセキュリティ会社のレポートによると、ThemeGrillテーマがインストールおよびアクティブ化されると、影響を受けるプラグインは、コードを実行しているユーザーが認証され、管理者であるかどうかを確認せずに、管理者権限でいくつかの機能を実行します。
この欠陥により、最終的に認証されていないリモートの攻撃者がターゲットWebサイトのデータベース全体をデフォルト状態に消去し、その後管理者として自動的にログインし、サイトを完全に制御できるようになる可能性があります。

「(スクリーンショットで)認証チェックはなく、/ wp-admin / admin-ajax.phpを含むWordPressの「admin」ベースのページのURLにはdo_reset_wordpressパラメーターのみが必要であることがわかります。 」
WebARXの研究者によると、この脆弱性は、過去3年間にリリースされたThemeGrill Demo Importerプラグインバージョン1.3.4から1.6.1までに影響を及ぼします。

「これは重大な脆弱性であり、かなりの損害を引き起こす可能性があります。疑わしいペイロードを必要としないため、ファイアウォールがこれをデフォルトでブロックすることは想定されていません。この脆弱性をブロックする特別なルールを作成する必要があり、 「WebARXの研究者は言った。
WebARX。脆弱性検出および仮想パッチソフトウェアを提供して、サードパーティのコンポーネントの脆弱性からWebサイトを保護します。 2週間前にThemeGrill開発者にこの脆弱性を責任を持って報告し、2月16日にパッチを適用したバージョン1.6.2をリリースしました。
WordPressダッシュボードは、プラグインを更新する必要があるときに管理者に自動的に通知しますが、手動によるアクションを待つ代わりに、プラグインの更新を自動的にインストールすることもできます。
この記事について何か言いたいことがありますか?以下にコメントするか、Facebook、Twitter、LinkedInグループで共有してください。

ちなみに依頼者は他にも2つのサイトで「ThemeGrill Demo Importer」を使用しており、同じく攻撃されておりました。無差別に攻撃しているようですね。復旧の方はレンタルサーバーのデータベースバックアップが残っており3サイトとも無事復旧できました!

最近、プラグインがらみのトラブルが多いので、余計なプラグインはインストールしないようにしましょう♪

コメント

タイトルとURLをコピーしました