B
今週中
WordPressプラグインベンダーのShapedPlugin社において、ビルドおよび配布パイプラインが侵害されるサプライチェーン攻撃が発生しました
📌 一言でいうと
WordPressプラグインベンダーのShapedPlugin社において、ビルドおよび配布パイプラインが侵害されるサプライチェーン攻撃が発生しました。攻撃者はPro版プラグインのアップデートにバックドアを仕込み、認証情報の窃取や2要素認証(2FA)シークレットの奪取、サイトへのフルアクセス権限の取得を可能にしていました。2026年4月から6月の間にPro版プラグインをインストールし、更新を適用したサイトが影響を受ける可能性があります。
🔍該当判定
- WordPressで「ShapedPlugin」社が提供する有料(Pro)プラグインを利用している
- 2026年4月から6月の間に、ShapedPlugin Proプラグインの更新(アップデート)を行った
- 「Real Testimonials Pro」などのShapedPlugin社製プラグインを導入している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
影響を受けるプラグイン(Real Testimonials Pro 3.2.5等)の利用状況を確認し、最新のクリーンなバージョンへの更新、および管理者パスワードや2FAシークレットのリセットを推奨します。また、不審な管理者アカウントが作成されていないか確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ShapedPlugin サプライチェーン攻撃への対応について
お疲れさまです。ShapedPlugin社のプラグインにおけるサプライチェーン攻撃に関する情報共有です。
■ 概要
ベンダーの配布パイプラインが侵害され、Pro版プラグインのアップデートにバックドアが仕込まれました。これにより、攻撃者が認証情報や2FAシークレットを窃取し、サイトのフルコントロール権限を取得できる状態となっていました。
■ 影響範囲
- 対象製品: ShapedPlugin Pro プラグイン(例: Real Testimonials Pro 3.2.5 等)
- 影響期間: 2026年4月〜6月の間にインストールまたは更新を行った環境
■ 対応手順
1. 自社管理サイトでShapedPlugin Pro製品を利用しているか確認してください。
2. 該当製品を利用している場合、最新の修正済みバージョンへのアップデートを適用してください。
3. 侵害の可能性があるため、管理者パスワードの変更および2FAの再設定を実施してください。
4. 不審な特権アカウントが追加されていないか監査してください。
■ 参考情報
- Wordfence 確認報告 (2026年6月12日)
対応優先度: 高
対応期限: 至急
お疲れさまです。ShapedPlugin社のプラグインにおけるサプライチェーン攻撃に関する情報共有です。
■ 概要
ベンダーの配布パイプラインが侵害され、Pro版プラグインのアップデートにバックドアが仕込まれました。これにより、攻撃者が認証情報や2FAシークレットを窃取し、サイトのフルコントロール権限を取得できる状態となっていました。
■ 影響範囲
- 対象製品: ShapedPlugin Pro プラグイン(例: Real Testimonials Pro 3.2.5 等)
- 影響期間: 2026年4月〜6月の間にインストールまたは更新を行った環境
■ 対応手順
1. 自社管理サイトでShapedPlugin Pro製品を利用しているか確認してください。
2. 該当製品を利用している場合、最新の修正済みバージョンへのアップデートを適用してください。
3. 侵害の可能性があるため、管理者パスワードの変更および2FAの再設定を実施してください。
4. 不審な特権アカウントが追加されていないか監査してください。
■ 参考情報
- Wordfence 確認報告 (2026年6月12日)
対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Supply Chain Attack on ShapedPlugin Pro Plugins
Dear IT/Security Team,
We are sharing information regarding a supply chain attack affecting ShapedPlugin products.
■ Overview
Attackers breached the vendor's build and distribution pipeline, injecting backdoors into Pro plugin updates. This allows attackers to steal credentials, 2FA secrets, and gain full administrative access to the affected WordPress sites.
■ Scope
- Affected Products: ShapedPlugin Pro plugins (e.g., Real Testimonials Pro 3.2.5)
- Affected Period: Installations or updates performed between April and June 2026
■ Action Plan
1. Identify if any managed WordPress sites are using ShapedPlugin Pro products.
2. Update the affected plugins to the latest clean version immediately.
3. Reset all administrative passwords and 2FA secrets as a precaution.
4. Audit the site for any unauthorized administrative accounts.
■ Reference
- Confirmed by Wordfence on June 12, 2026
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack affecting ShapedPlugin products.
■ Overview
Attackers breached the vendor's build and distribution pipeline, injecting backdoors into Pro plugin updates. This allows attackers to steal credentials, 2FA secrets, and gain full administrative access to the affected WordPress sites.
■ Scope
- Affected Products: ShapedPlugin Pro plugins (e.g., Real Testimonials Pro 3.2.5)
- Affected Period: Installations or updates performed between April and June 2026
■ Action Plan
1. Identify if any managed WordPress sites are using ShapedPlugin Pro products.
2. Update the affected plugins to the latest clean version immediately.
3. Reset all administrative passwords and 2FA secrets as a precaution.
4. Audit the site for any unauthorized administrative accounts.
■ Reference
- Confirmed by Wordfence on June 12, 2026
Priority: High
Deadline: Immediate