WordPress.org、Essential Plugin製の31プラグインを一斉閉鎖
Web Designing Web記者が、Webに携わる人向けにニュースをセレクト。話題の本質を整理し、実務に役立つポイントをコンパクトにまとめました。
WordPress.org Plugins Teamは、2026年4月7日、「Essential Plugin」作者による31本のプラグインを一斉に閉鎖しました。いずれもバックドアコードが仕込まれていたためです。
Essential Pluginは、「Countdown Timer Ultimate」や「Popup Anything on Click」など、累計40万以上のインストール数を持つ人気プラグイン群でした。2025年にオーナーが第三者に売却された後、新オーナーが同年8月の更新で悪意あるコードを混入。8か月間潜伏したのち、2026年4月5日〜6日に起動しました。
影響は、感染サイトにSEOスパムを仕込むというものです。管理画面では何も異常が見えませんが、Googleのクローラにだけ不正なページやリンクを表示するため、検索流入の低下や検索結果からの除外につながる恐れがあります。
WordPress.orgは4月8日に強制アップデートでプラグイン側の通信を遮断しましたが、WordPressの設定ファイル(wp-config.php)に注入されたコードは残ったままです。該当プラグインを利用しているサイトでは、プラグインの削除に加え、設定ファイルの手動確認と該当コードの除去が必要です。
発覚のきっかけは、WordPressホスティング事業者である米Anchor HostingのAustin Ginder氏が、顧客サイトの調査中にバックドアを発見したことでした。
Editor’s Eye
ユーザー側で身元確認までしてプラグインの安全性を見抜くのは現実的ではありません。WordPress側での所有権譲渡時の審査や、コード変更の検知など、運用面での対策強化が求められる局面に入っています。
文:小平淳一