ここ数週間、WordPressチームやWordPress Securityチームを語るフィッシングメールが流行していると注意喚起されている。このメールには「WordPressに脆弱性が見つかったので、いますぐセキュリティパッチプラグインをインストール!」という内容が記載されている。慌てた受信者がメールの支持通りにダウンロードリンクへ移動すると、そこにはWordPressプラグインディレクトリにそっくりなサイトが用意されていて、バックドアをしかけるプラグインが待ち構えているというわけだ。(中略)こうしたメール詐欺にひっかからないための要点としては以下の通り。
まず慌てないこと。慌てるとIQが30ぐらい下がってしまう。
メールのリンク先をよく確認すること。リンク先が wordpress.org であることを確実におさえてから移動しよう。これはWordPressに限った話ではない。Gmailなどではメールアドレスの詳細を確認することができる。また、
アドレスバーのドメインなどを確認すること。もっとも、最近は間違えやすいアルファベット(punycodeでwordpress.orgではなく、wordpréss.orgとか)をあえて使うことがあるので、目視では気づきづらいかもしれない。
迷惑メール機能が充実したメーラーを使う。
重要な手続きは公式サイトから行う。まずWordPress.orgに移動してからダウンロード。これはAmazonプライムの会費がどうたらというメールでも同様だ。基本的にWordPressチームがこうした形式でメールを送ることはないそうだが、よほどの事情通でない限り、WordPressコミュニティの連絡形式について知っているはずがない。慌てずに自衛することを心がけよう。
まったくたちの悪いフィッシングメールだ。
よりいっそう気をつけていかねばならない。