【セキュリティ・脆弱性対策2018】wordpressでサイバー攻撃されやすいファイルってどんなのがあるの?

      2021/03/04   2571文字

【セキュリティ・脆弱性対策2018】wordpressでサイバー攻撃されやすいファイルってどんなのがあるの?

今回は、wordpress利用者にも気になる『サイバー攻撃』についてです(以前は、しょっちゅうアタックされてる印象がありました笑)。
ほっとくと、『不正アクセスやサイトの改ざん』などといった被害につながる可能性もあります。セキュリティー系の企業さんが公開した2018最新の興味深い資料もありますので、さっそくチェックしてみましょう。

今回チェックする資料『日本国内におけるWordPressセキュリティの現状』

いろいろセキュリティーについて検索してたら、2018最新の資料を見つけました。

作った会社は『ジェイピー・セキュア』社で、『サイトガード』などのインターネットセキュリティー系のサービスを提供しています。資料の内容としては『2017年末くらいの(新しいデータ)、wordpressなどの最近のサイバー攻撃のされ方・手法・対象ファイル』などです。

資料へのデータ提供にWADAXやロリポサーバーといった、GMO系列の利用者が多いサーバー会社が協力しており、母数の大きなデータを確認することができます。もちろん、wordpressユーザーでなくても、動的生成するサイトを持っている場合は、参考になる点が多いといえます。

最近のwordpressの攻撃され方の傾向~xmlrpcやテーマ・プラグインが多い

本体ファイルはきちんとアップデートしていればねらわれにくい、ただしxmlrpcには注意

2017年くらいに、REST-APIの深刻な脆弱性が出たりしましたが、その脆弱性を対策したパッチがわりとすぐに出たりしています。コアファイルはきちんとアップデートしておけば、危険性が低いというのが、セキュリティー会社的な見解のようです。

実際に、『脆弱性の検出は本体7%・プラグイン93%(14ページ)』という数値が出ています。しかし、自動でついてくる本体のファイル『xmlrpc.php』については、攻撃される頻度が高いという結果がでました。これは2014年くらいの段階ですでに、『ブルートフォース攻撃の対象になっている』という点が指摘されていました。

ちなみにこのサイト(読んどけコラム)では、『xmlrpc.php』は無効化・アクセス禁止となっています。普段はアプリからログイン・更新を行わないので、制限しといた方が安全かなと判断しました。

wordpressのねらわれやすいファイルは、プラグイン・テーマ(攻撃される頻度が高い)

『xmlrpc.php』が攻撃されやすいのに続き、『wp-content/pluginsやwp-content/themesが攻撃される頻度が高い(9ページ)』との結果がでました。
というのも、『開発元が既に活動停止していて、更新やメンテがされていないプラグインやテーマ』『入れっぱなしで放置のプラグイン』などがあるからです。

脆弱性が確認されたプラグインバージョンなどもリスト化してある

この資料で興味深いのは『脆弱性が発見されているプラグインの、攻撃され方や、対象のバージョン』がリスト化されている点でした(15~17ページ)。

『Ultimate Instagram Feed1.3~1.31/XSS(クロスサイトスクリプティング)』
『Simple Events Calendar1.35/SQLi(SQLインジェクション)』
『yoast seo5.71/XSS(クロスサイトスクリプティング)』

などといった具合に。

wpユーザーの方は、該当するものがあるかどうかチェックしておくと良いでしょう(他にもいろいろあります)。

対策方法、簡潔にまとめ

  • まずはどのような攻撃が発生しているか、脅威を知る
  • 本体やテーマ、プラグインのアップデートはこまめに行う(古くて脆弱性があるバージョンは攻撃されやすい)
  • 余計なプラグインはあまり入れない(重くなる、使わないと更新忘れたり&狙われやすいから)
  • パーミッションも気にする(config.phpは400など)
  • 狙われやすいファイルのアクセス制限も
  • パスワードもなるべく複雑にする(シンプルすぎると、ブルートフォース攻撃で突破される)

基本ですが、こういったところでしょうか。開発とかになると『きちんとエスケープする』などもチェックしていく感じでした。

あとがき・まとめ

wordpressはユーザーが多いこともあり、しょっちゅうサイバー攻撃の標的になっているイメージがありましたが(管理人の個人的な感想)、その内情は『実はプラグインやテーマ・xmlrpcなどの特定ファイル』がターゲットになりやすいということがわかりました。きちんとアップデートしていれば、本体は攻撃に耐えきれそうというのもポイントです。

攻撃されるパターンを一通り頭に入れて、テーマやプラグインバージョン・パーミッション・パスワード&ログインフォームなどにも気を使っていくと良いでしょう。

最悪、サイトを改ざんされ『検索リファラがあるときだけ、広告仕込んだサイトに飛ばす』みたいにされると悲惨です。検索でgetしたアクセスを、すべて攻撃者の利益に変えられます。WPセキュリティ関連もチェックしつつ、サイトを運用していきましょう。

ネットで曲アレンジ/作曲サービス|アトリエSS仙台


【カテゴリ】 - その他・雑談/ニュース/ブログ
【タグ】 -

  関連記事

【通信費削減】キャリアから格安SIMに乗り換えて、スマホ通信費を三分の一にする(ソフトバンク→ビッグローブ)
YouTubeで不適切・コミュニティガイドラインに触れる動画を通報・報告する方法
【副業】フリーランス独立時の収益低下リスクヘッジに、物流・製造系派遣やった体験談(働くナビ・工場求人ナビetc.)
(ssfへ転送)著作権フリーBGM・楽曲素材提供~トロピカルハウス『年金がでねぇ、そうだバカンス行こう』
過去のイメージをcast offするクリエイターの作業中おやつ~牛丼屋の領域を越える、こだわりスイーツ『すき家・クッキー&バニラアイスクリーム』
糖分が足りてないクリエイターの作業中おやつ~集束した苺フレーバー&さくさくパフで、100円でも激ウマ『coop/いちごクランチチョコレート』
【音楽収益化失敗】フリー曲素材サイトって広告収入入った?→3ヶ月で140えんです。
【PC/スマホ】見られると恥ずかしいYouTube視聴履歴~消す・見られないようにする方法
【オリコのキャッシング・リボ返済攻略】金利ばっか払って元金が減らないときは『返済額変更・次回のみ返済額増額』を組み合わせて、前倒しで潰す
WordPress 5.5を自作テーマでテストしてみた~ベータ最新版利用方法と、気になる機能(img loading=”lazy”など)
【辛すぎんだろ笑】クリエイターの間食~わさびマヨが多すぎて喉が焼ける『日清焼そばU.F.O.わさマヨ地獄』
(ssf転送)著作権フリーBGM・楽曲素材提供~楽曲素材提供~コンテンポラリーjpop/R&Bっぽいピアノ曲