GoDaddy傘下のウェブセキュリティ企業Sucuriのサイバーセキュリティ研究者は、活動停止中だが正規のWordPress プラグインであるEval PHPが悪用されてウェブサイトを侵害していることを発見しました。Eval PHPは、もともとユーザーが記事やブログデータにPHPコードを追加できるように開発されたもので、最新のアップデートはおよそ10年前に行われました。それ以来、長期間にわたってダウンロード数はごくわずかでしたが、この1カ月でダウンロード数が急増し、ピーク時には毎日7,000ダウンロードを記録するなど、10万ダウンロードを超えるようになりました。
Sucuriの通知では、Eval PHPを利用したハッカーの手口について詳しく説明しています。このコードは、ウェブサイトのdocrootにPHPスクリプトを作成し、file_put_contents関数を使用して、指定されたリモートコード実行のバックドアを備えています。バックドアは、$_REQUEST[id]を利用して実行可能なPHPコードを取得するため、$_GET、$_POST、$_COOKIEの内容を取得し、Cookieとして表示することでパラメータを効果的に隠します。Sucuriは、POSTよりも検出されにくいにもかかわらず、GETも同様に危険であることを強調しています。
さらに、スクリは、ハッカーがさまざまな下書き投稿にバックドアを作成することで、公開されたページと比較して、一般には見えなくなり、発見が困難になると指摘しています。WordPress 、TechRadar Proの問い合わせに対して、放置されたプラグインに関する方針についてまだコメントを出していません。それまでは、WordPress のユーザーに対して、wp-admin パネルを強化し、アクティビティを注意深く監視するようアドバイスしています。同団体は、セキュリティを向上させるための4つのステップを提案しています:
- 最新のセキュリティ・リリースに基づき、ウェブサイトを確実に更新し、パッチを適用する。
- 管理画面に二要素認証(2FA)または同様のアクセス制限措置を導入する。
- 不測の事態に備え、ウェブサイトのバックアップを定期的に行う。
- Webアプリケーションファイアウォールを活用して悪意のあるボットから保護し、既知の脆弱性に仮想的にパッチを当てる
no-code やlow-code プラットフォームの導入が進み、開発者やビジネスリーダーは、時代遅れのプラグインに煩わされることなく、簡単にウェブやモバイルアプリケーションを構築できるようになりました。そのようなソリューションの1つが、バックエンド、ウェブ、モバイルアプリケーションを作成するためのアクセス可能で拡張性の高いno-code ツールであるAppMaster プラットフォームです。AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
no-code とlow-code のアプリ開発に関する詳細な情報は、当社の包括的なガイドをご覧ください: No-Code,2022年のローコードアプリ開発に関するフルガイドをご覧ください。
