Sophos社のニュース掲載サイトNaked Securityは、11月13日、WordPress※のGDPR(一般データ保護規則)への対応を設定・確認できるプラグイン"WP GDPR Compliance"がハッキングされたと報じた。
本プラグインの脆弱性を突いて、管理アカウントを作成。その後、Webサイトにマルウェアを感染させるプラグインをインストールすることで、攻撃者はWebサイトを乗っ取り、遠隔からのコードの実行を可能にしたという。
本プラグインの脆弱性はすでに修正され、現在は利用可能になっている。
※ホームページを作成・管理するためのオープンソースソフトウェア。コンテンツマネージメントシステム(Content Management System、CMS)の1つで、世界で最も高いシェアを維持している。
[ニュースソース]
WordPress GDPR compliance plugin hacked― Naked Security 2018/11/13 (accessed 2018-11-15)
[小欄関連記事]
2018年07月17日 国立国会図書館、GDPRに関する小特集を『外国の立法』に掲載