平素はmixhostをご利用いただきありがとうございます。
この度、WordPressのプラグイン「Duplicator(1.2.40以前)」のバージョン環境において脆弱性が発見され、プラグイン提供元より修正版が公開されました。
弊社サーバー内においても、本プラグインをご利用頂いているお客様が多くいらっしゃるため、以下の通りご案内申し上げます。
サイトの移行や複製を行うために「Duplicator(1.2.40以前)」を使用されたことがある場合は、第三者によって悪意のあるコードを実行され、サイトの改ざん等が行われる可能性がございます。
大変お手数ですが速やかに、以下の内容をご確認頂き、必ずご対応をお願いいたします。
■影響範囲
WordPressサイトの移行や複製を行うために「Duplicator(1.2.40以前)」をご使用されたことのあるお客様
■対応方法
【WordPress「Duplicator」プラグインのアップデート】
WordPress管理ページの「プラグイン」項目より、最新バージョンへプラグインのアップデートを行ってください。
【インストーラーファイルの削除】
「Duplicator(1.2.40以前)」を利用し、複製または移転を行っている場合、以下の2ファイルがサーバー上に残っているかご確認頂き、存在する場合は削除の対応をお願いいたします。
- installer.php
- installer-backup.php
※通常、上記の2ファイルは、public_html/xxxxx.xxx(ドメイン名)/の直下に格納されております。
※プラグインの最新版へのアップデートを行って頂いた場合においても、「Duplicator(1.2.40以前)」にて作成された上記の2ファイルがサーバー内の公開ディレクトリに存在している場合、不正な改ざん等が行われる危険性がございます。
※既にDuplicatorを削除済みのお客様におかれましても、過去にDuplicatorをご利用頂いた場合は、上記の2ファイルが存在していないことをご確認頂き、ファイルが存在している場合は削除のご対応をお願いいたします。
■参考サイト(英文)
Duplicator Update Patches Remote Code Execution Flaw
https://www.wordfence.com/blog/2018/09/duplicator-update-patches-remote-code-execution-flaw/
WordPress Duplicator plugin <= 1.2.40 – Arbitrary Code Execution vulnerability
https://db.threatpress.com/vulnerability/duplicator/wordpress-duplicator-plugin-1-2-40-arbitrary-code-execution-vulnerability
ソフトウェアの脆弱性によるサイトの改ざん等からお客様のサイトを守るため、WordPressを含むCMSの本体・テーマ・プラグイン等につきましては、常に最新のバージョンをご利用頂くこと推奨させて頂いております。
