🔥 この記事の詳細
2026-04-17 更新
B
今週中

EssentialPlugin社が提供する30以上のWordPressプラグインにバックドアが仕込まれたこと

脆弱性🌐 英語ソース
🖥️ 製品WordPress
📅 2026-04-17📰 xakep
📌 一言でいうと
EssentialPlugin社が提供する30以上のWordPressプラグインにバックドアが仕込まれたことが判明しました。この悪意あるコードは、同社の所有者が変更された後の2025年8月頃に注入され、正規のアップデートメカニズムを通じて配布されました。これにより、数十万件のWordPressサイトが不正アクセスのリスクにさらされています。
🏢影響範囲
EssentialPlugin製品を利用している世界中のWordPressサイト運営者および組織
該当時の対応
EssentialPlugin製プラグインの利用を直ちに停止するか、公式の修正パッチが提供されているか確認してください。また、サイト内に不審な管理者アカウントや未知のファイルが作成されていないか、整合性チェックを実施することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【重要】EssentialPlugin製WordPressプラグインにおけるバックドア混入の件

お疲れさまです。EssentialPlugin社製プラグインの脆弱性に関する情報共有です。

■ 概要
EssentialPlugin社が提供する30以上のWordPressプラグインに、攻撃者によってバックドアが仕込まれたことが判明しました。この悪意あるコードは正規のアップデートメカニズムを通じて配布されており、攻撃者がサイトへの不正アクセス権限を取得できる状態にあります。

■ 影響範囲
- EssentialPlugin(旧WP Online Support)製のプラグインおよびテーマを利用している全てのWordPressサイト

■ 対応手順
1. 導入済みプラグインの一覧を確認し、EssentialPlugin製の製品が含まれているか特定してください。
2. 該当製品を利用している場合は、直ちに利用を停止するか、最新の修正パッチが提供されているか確認し適用してください。
3. サイト内に不審な管理者アカウントが作成されていないか、および未知のファイルがアップロードされていないか整合性チェックを実施してください。

■ 参考情報
- xakep / BleepingComputer 等のセキュリティレポート

対応優先度: 高(速やかな確認と対応を推奨します)
Subject: [Security Advisory] Backdoor discovered in EssentialPlugin WordPress Plugins

Hi all,

This is a security notification regarding a critical compromise affecting plugins developed by EssentialPlugin.

■ Overview
It has been reported that over 30 WordPress plugins from the EssentialPlugin suite were compromised. A backdoor was injected into the code (around August 2025) and distributed via the official update mechanism, allowing unauthorized remote access to affected WordPress sites.

■ Scope
- All WordPress sites utilizing plugins or themes developed by EssentialPlugin (formerly known as WP Online Support).

■ Recommended Actions
1. Audit your installed plugins to identify any products from EssentialPlugin.
2. Immediately disable the affected plugins or verify if a clean, patched version has been released by the vendor.
3. Perform an integrity check on the affected sites to identify any unauthorized administrator accounts or suspicious files created by the backdoor.

■ Reference
- Security reports from xakep / BleepingComputer

Priority: High (Prompt action is strongly recommended)
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-17 のまとめ🔍 記事を検索