Hacker NewsがざわついたWordPress供給網事故、30超のプラグインに潜んだbackdoor

Hacker Newsでこの話題が強く刺さったのは、engineeringの現場なら誰でも想像できる導線で大きな侵害が起きたからだ。Austin Ginderの調査では、Flippa経由で30超のWordPressプラグイン群が新しい所有者に渡ったあと、共有 analytics モジュールが遠隔 backdoor に変わった。攻撃が有効化されると、偽装した PHP ファイルを取得し、wp-config.php に悪性コードを書き込み、通常の訪問者ではなく Googlebot にだけ spam ページを見せる構成になっていた。管理者が普段の画面だけ見ていると気付きにくい種類の侵害だ。

communityが特に反応したのは、技術的な手口がかなり具体的だった点でもある。原文によれば Countdown Timer Ultimate の 2.6.7 は、遠隔 deserialization の経路、認証なし REST endpoint、そして外部データに制御される実行経路を追加していた。この code path は約8か月眠ったまま残り、2026-04-05から2026-04-06にかけて weaponize された。Ginderは backup forensics で注入タイミングを絞り込み、WordPress.org の強制 update は plugin 内の phone-home を止めても、すでに wp-config.php に書き込まれた payload までは消していないと指摘している。

• 影響範囲は30超のプラグインに及んだ。
• WordPress.org は31個を一気に closed にし、強制 update を配布した。
• spam は Googlebot 向けにだけ出され、発見を遅らせる設計だった。

HNの議論は WordPress 固有の話では終わらなかった。依存関係が深くなりすぎて、ownership transfer のあとに full chain を audit できるチームはほとんどいない、という反応が目立った。さらに、この件は劇的な exploit から始まったのではなく、正規の事業売却から始まった点が不気味だという見方も多かった。

だからこそこの話は長く残る。派手な zero-day の物語ではなく、地味な business transaction と小さな code change と長い潜伏期間だけで十分に危険な compromise が成立することを示したからだ。WordPressを運用する側は、plugin owner の変更を release note 扱いで流さず、plugin ディレクトリ外の整合性まで監視したほうがいい。「修正版が出た」は、すでに触られたファイルが元に戻ったことを意味しない。