60万サイトで使用のWordpressプラグインWPML、ハッキングされ情報流出

　サイトを多言語対応させるためのWordPress向けプラグイン「The WordPress Multilingual Plugin（WPML）」の開発チームで働いていた元従業員がWPMLのWebサイトを乗っ取り、その顧客に修正されていないセキュリティホールの存在を知らせるメールを大量送信したそうだ（ZDNet、welivesecurity）。

　このメールでは、プラグインを利用することで脆弱性が生じる可能性があるということを伝えていたという。WPMLの開発者によると、WPMLのサイトに元従業員によってバックドアが仕掛けられており、これが悪用されたという。

　また、これに関連して顧客の氏名やメールアドレス、さらにWPMLのアカウントが流出した可能性もあるとし、顧客に対してはパスワード変更などを行うことを推奨している。

　スラドのコメントを読む | セキュリティセクション | 情報漏洩

　関連ストーリー：
WordPress 4.7.0および4.7.1 に認証なしでコンテンツをアップロードできる深刻な脆弱性 2017年02月07日
自力でトラブルシューティングできない人や組織は、自前でWordPresでサイトを構築してはいけない？ 2016年06月25日
「パナマ文書」はWordPressプラグインの脆弱性が原因で流出した？ 2016年04月11日
WordPressプラグイン「WP-Slimstat」に致命的な脆弱性、暗号化パスワード漏洩の危険も 2015年02月27日