WordPressのプラグイン開発・販売ビジネスが、買収されたあとに丸ごと悪用される事件が起きました。
元記事が伝えているのは、「信頼されていたプラグインが、所有者が変わった瞬間に攻撃の踏み台になった」という話です。
しかも規模が大きい。1本のプラグインだけではありません。
Essential Plugin というブランドのもとで公開されていた 30本以上のWordPressプラグイン に、同じ系統のバックドアが仕込まれていたのです。これはかなりぞっとします。WordPressは導入数が多いぶん、こういう攻撃は一気に広がるのが怖いところだと思います。
難しく聞こえますが、要するに**“直接本丸を攻撃するのではなく、信頼して使っている部品や提供元を乗っ取る”**攻撃です。
今回でいうと、
わけです。
でも、そのプラグインの中身が買収後に変えられていた。
つまり、利用者が疑いにくい場所に爆弾を置いたということです。かなりいやらしいやり方です。
元記事をもとにすると、流れはこんな感じです。
unserialize() を使うバックドアが仕込まれるこの流れ、個人的にはかなり怖いです。
なぜなら、「普通に買収された人気プラグイン」が攻撃に変わるからです。零細開発者の怪しいZIPを警戒するのとは違って、むしろ“信頼できそうな経歴”が武器になっているのが厄介です。
元記事で特に面白く、同時にゾッとするのがここです。
攻撃者はプラグイン内の wpos-analytics というモジュールを使い、外部のサーバーにアクセスさせます。
そこでバックドア用のファイルを取得し、**wp-config.php** に不正なPHPコードを埋め込みました。
wp-config.php とは?WordPressの最重要設定ファイルです。
データベース接続情報などが入っていて、サイトの中枢に近い場所です。ここに触られるとかなり危険です。
つまり今回の攻撃は、単なるプラグイン改ざんではなく、サイトの心臓部に不正コードを注入したということです。
不正コードは、スパムリンクやリダイレクト、偽ページを表示します。
しかもそれをGooglebotにだけ見せるようにしていました。
GooglebotはGoogleのクローラ、つまり検索エンジンがWebページを巡回するロボットです。
これを狙うと、検索結果を汚したり、SEOスパムを仕込んだりできます。
要するに、
という、なかなかタチの悪い攻撃です。
こういうのを見ると、「攻撃者は技術だけじゃなく、検索エンジンの仕組みまで分かってるんだな」と感じます。いや、感心したくはないですが。
元記事で特に“やりすぎ”感があるのが、C2サーバーの場所をEthereum smart contract経由で解決していた点です。
C2は Command and Control の略で、攻撃者がマルウェアを操作するための中継拠点です。
普通ならドメインを止めれば対処しやすいのですが、今回はそれを回避するために、
ようにしていたとのことです。
これ、かなり面倒です。
一般的なドメイン停止では追いつきにくい設計だからです。
個人的には、こういう「インフラ側の回避テクニック」が悪用されると、セキュリティ対策はますます“後追い”になりがちだなと思います。
WordPress.orgは問題のプラグインを強制アップデートしました。
ただし、元記事が重要だと言っているのは、プラグイン本体の修正だけでは不十分だったという点です。
なぜなら、すでに wp-config.php に注入された不正コードは残っていたからです。
つまり、
という状態でした。
これは、ウイルス対策ソフトを入れたから安心、では終わらないのと同じで、既に入り込んだ痕跡の掃除が必要だということです。
元記事では、バックアップを使った解析が紹介されています。これが地味にかっこいいです。
著者は日次バックアップを使って、複数日時点の wp-config.php を比較し、ファイルサイズの変化から侵入時期を絞り込みました。
結果として、2026年4月6日、UTC 04:22〜11:06の間に注入されたと分かったそうです。
こういう調査は派手さはないですが、実務ではめちゃくちゃ重要です。
「いつ入られたか」が分かれば、
を判断しやすくなります。
ここもかなり怖いポイントです。
2025年8月8日に、見た目は普通の更新を装ってバックドアが仕込まれました。
でも、実際に悪用が始まったのは 2026年4月。
つまり、8か月も“潜伏”していたわけです。
これ、セキュリティ担当者からすると悪夢です。
「今のところ何も起きていない」ように見えても、内部にはすでに時限爆弾があるかもしれないからです。
元記事では、プラグインのビジネスが Flippa で売られたことも大きく扱われています。
もちろん、買収そのものが悪いわけではありません。むしろ健全な事業売買は普通にあります。
でも問題は、長年の信頼とブランドが、そのまま攻撃の覆いになったことです。
これは正直、かなり現代的な問題だと思います。
昔は「怪しいファイルを入れない」が中心だったのに、今は「信頼されていたものが後から壊れる」時代です。
オープンソースやマーケットプレイスの便利さと、供給網のリスクは表裏一体ですね。
2026年4月7日、WordPress.orgの Plugins Team は Essential Plugin 系のプラグインを一斉に閉鎖しました。
元記事では、30本以上、確認できたものとして31本が列挙されています。
これは相当な判断です。
単一プラグインならともかく、関連する大量のプラグインを一気に止めるのは、影響範囲が広すぎるからです。
でも、それだけ危険だったということでもあります。
正直、ここまで一斉対応になるケースはそう多くないはずで、事件の深刻さが伝わってきます。
この件、WordPressユーザーだけの話に見えて、実はかなり広い教訓があります。
買収、運営者変更、外部委託。
こういう変化が入ると、以前の信頼はそのままでは使えません。
私は、ソフトウェアは**“過去の実績”より“現在の中身”を見る時代**になっていると思います。
強制アップデートでプラグイン本体が直っても、
感染済みの設定ファイルや改ざん済みファイルは残ることがあります。
日々のバックアップは、単なる保険ではありません。
いつ改ざんされたかを見つける証拠にもなります。
WordPressでは wp-config.php のような重要ファイルも含めて監視したほうがいいです。
「プラグインの更新通知だけ見ていれば安心」は、今後ますます危ない考え方ではないでしょうか。
この事件は、単に「悪い人がいた」で終わらないのが重いです。
技術的には巧妙、運用面では買収を利用、心理的には信頼を利用、そして被害は検索流入やサイト運営に広がる。
かなり完成度の高い攻撃です。
ただ、逆に言えば、守る側も“怪しいファイルを探す”だけでは足りないということでもあります。
供給元の変化、更新履歴、ファイル改ざん、異常な外部通信、検索エンジン向けの不自然な挙動まで見ないといけない。面倒ですが、現実はそうなっています。
WordPressは便利です。だからこそ、こういう事件が起きると影響が大きい。
便利さとリスクはセットだと、改めて感じる記事でした。
参考: Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them.