ブログ奮闘記

WordPressプラグイン【Ad Invalid Click Protector】が侵害された。大量のモデレートのメールも

*記事内に商品プロモーションを含む場合があります

特定の記事に大量に「モデレートしてください」のメールが来ていた。

関連があるか分かりませんが、WordPressに「プラグインが侵害されたとの報告」とヤバそうな警告が表示されたので対応しました。

プラグインの侵害と「モデレートしてください」のスパムメールとの関連は薄そうですが、ついで対策しました。

大量のモデレートしてください祭り

特定の記事に1日30件以上「モデレートしてください」とメールが来るようになりました。

プラグインが侵害されたとの報告

WordPressにログインすると以下の警告が表示されていました。

「Ad Invalid Click Protector (AICP)」プラグインが確かに更新されていなかった。

This is a message from the WordPress.org Plugin Review Team.
The community has reported that the “Ad Invalid Click Protector (AICP)” plugin has been compromised. We have investigated and can confirm that this plugin, in a recent update (version 1.2.9), created users with administrative privileges and sent their passwords to a third party.
Since this could be a serious security issue, we took over this plugin, removed the code that performs such actions and automatically reset passwords for users created on this site by that code.
As the users created in this process were found on this site, we are showing you this message, please be aware that this site may have been compromised.
It may also have added an obfuscated script to the functions.php file of your themes with the function name “add_footer_script”. This has not been removed automatically and will require manual removal.
We would like to thank to the community for for their quick response in reporting this issue.
To remove this message, you can remove the users with the login names FwnvaYD .

<日本語訳>
コミュニティから、「Ad Invalid Click Protector (AICP)」プラグインが侵害されたとの報告がありました。
調査の結果、このプラグインは最近のアップデート (バージョン 1.2.9) で管理者権限を持つユーザーを作成し、そのパスワードを第三者に送信したことが確認されました。
これは重大なセキュリティ問題となる可能性があるため、このプラグインを乗っ取り、そのようなアクションを実行するコードを削除し、そのコードによってこのサイトで作成されたユーザーのパスワードを自動的にリセットしました。

このプロセスで作成されたユーザーがこのサイトで見つかったため、このメッセージが表示されています。

このサイトが侵害された可能性があることに注意してください。

また、テーマの functions.php ファイルに関数名「add_footer_script」の難読化されたスクリプトが追加されている可能性もあります。

これは自動的に削除されていないため、手動で削除する必要があります。 この問題を報告して迅速に対応してくれたコミュニティに感謝します。
このメッセージを削除するには、ログイン名 FwnvaYD のユーザーを削除します。

対処方法

ChatGPTに何をやるべきか聞いてみました。

functions.phpを修正

確かに古いファイルを比較するとfunctions.php が書き換わっています。


難読化されたコードが大量に書き込まれています。

WordPressの「外観」-「テーマファイルエディタ」からfunctions.phpを選択して、add_footer_scriptの部分を削除して保存します。

ユーザの削除

ユーザ「FwnvaYD」が追加されています。怖い。
このユーザ「FwnvaYD」を削除します。

 

■ほかにも以下を実施

・自動更新していなかったプラグインを更新。

・WordPress本体のレビジョンアップも未実施だったので更新。

セキュリティの強化(Akismetの設定)

Akismet Anti-Spam でスパムコメントの対策を行いました。

無料で利用可能です。

ヒトデさんと以下の記事が分かりやすいので、この記事を見て対策しました。

【スパムコメント対策】Akismet Anti-Spamの設定方法を解説!【2024年5月更新】

反省

プラグインは、自動更新にしておくべきですね。
自動更新にしていなくて放置していたのが、マズかったかな。

「wordpress プラグイン侵害」で検索するとわかりますが、結構プラグインの侵害は発生するのですね。