WordPressのプラグイン31個にバックドアの存在が発覚、所有権移転後のアップデートで追加

WordPressのプラグイン開発を行っていた会社「Essential Plugin」の保有する31種類のプラグインにバックドアが仕込まれた経緯について、ウェブエンジニアのオースティン・ギンダー氏がブログで公開しました。

Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them.
https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

「WordPress.orgのプラグインチームから『Countdown Timer Ultimateというプラグインに第三者による不正アクセスを可能にするコードが仕込まれている』という警告が届いた」と顧客から連絡を受け、ギンダー氏は調査を行いました。

WordPress.orgによる強制アップデートにより、プラグインに仕込まれていた悪意あるコードは削除されていましたが、すでに不正アクセスが行われてWordPressの重要な設定ファイルであるwp-config.phpが書き換えられており、Googlebotに対して偽のページやスパムリンクを表示していたとのこと。

ギンダー氏は不正アクセスされたファイルを修正するとともに、なぜプラグインに悪意あるコードが仕込まれることになったのかを調査することにしました。

Countdown Timer Ultimateを開発したEssential Pluginはインドを拠点とするチームで、30種類以上のプラグインを提供していました。プラグインは基本無料で、有料版では高度なカスタマイズなどが可能でした。

しかし、コロナ禍を経て収益がおよそ4割減少したため、2025年に創業者のミネッシュ・シャー氏はEssential Pluginの売却を決断し、オンラインビジネス販売サイト・Flippaに出品しました。事業を購入したのはSEO・仮想通貨・オンラインギャンブルマーケティングの経験があるというクリス氏で、購入価格は「6ケタ台」(10万ドル以上、日本円で約1600万円以上)でした。

From Plugin to Payday: How To Sell a WordPress Plugin Business for 6-Figures on Flippa - Flippa
https://flippa.com/blog/how-to-sell-a-wordpress-plugin-business-for-6-figures-on-flippa/

プラグインの所有権は2025年5月ごろクリス氏に移転したとみられ、2025年8月8日に新しい所有者による最初のアップデートが行われました。ギンダー氏の調べによると、この最初のアップデートでバックドアが仕掛けられたとのこと。バックドアは攻撃用サーバーから取得したコードをそのまま実行するもので、典型的な「リモートコード実行攻撃」でした。

2025年8月8日にバックドアが仕掛けられてから約8カ月の間は休止状態で、バックドアは動いていませんでしたが、2026年4月5日ごろからバックドアの悪用が始まり、wp-config.phpの書き換えなどが行われました。2026年4月7日にWordPress.orgのプラグインチームはEssential Pluginの所有するプラグイン31個の公開を停止し、被害の拡大を防止しています。

ギンダー氏は2026年3月31日にも所有権移転を伴う別のプラグインへの悪意あるコードの注入を発見しており、「WordPressのエコシステムにはプラグインの所有権が移転したことを監視したり通知したりする仕組みが存在せず、サプライチェーン攻撃が行われやすい環境にある」と警告しました。