wordpressセキュリティの脆弱性とは?被害事例と対策方法

wordpressセキュリティの脆弱性とは?被害事例と対策方法
Pocket

世界中で使われているCMSであるWordpress、

誰でも使いやすく、たくさんのサイトにて採用されているWordpressですが、

利用者が多いということでセキュリティが弱いと言われています。

そこで今回の記事では、wordpressセキュリティの脆弱性とは?被害事例と対策方法についてまとめました。

それでは最後までお読みください(^▽^)/

 

wordpressセキュリティの脆弱性とは?


WordPressはオープンソース・ソフトウェアのCMSで、世界シェア率はCMSのうちで60%以上です。

W3Techsによる「Usage of content management systems for websites」(Webサイトのコンテンツマネジメントシステム利用率)によると、利用率は28.8%と圧倒的にトップとなっています。

CMSとは?

コンテンツ管理システム(コンテンツかんりシステム、英: content management system, CMS)は、ウェブコンテンツを構成するテキストや画像などのデジタルコンテンツを統合・体系的に管理し、配信など必要な処理を行うシステムの総称。2005年頃より一般的に普及したといわれる。コンテンツマネージメントシステムとも呼ばれる。

出典: フリー百科事典『ウィキペディア(Wikipedia)』

 

脆弱性とは?

脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと。

脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。

脆弱性が発見された場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供しますが、脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されます。

 

wordpressの脆弱性とは?

WordPressはオープンソースで、誰でも自由にその仕組みを見ることができ、みんなで作っていくという考え方に基づいてつくられています。

よって、世界中の多くのエンジニアはWordPressに問題や改善点があれば、みんなで協力しながら改善していきます。

しかし、ごく一部の悪意をもったエンジニアが脆弱な部分を攻撃してホームページに影響を及ぼすこともあります。

カスタマイズの自由度も高く、その仕組みも全て公開されているのでサイバー攻撃に狙われやすいのです。

 

wordpressの被害事例

wordpressの脆弱性を狙った被害事例について紹介します。

 

wordpressを狙った迷惑メール

最も多い被害は迷惑メールです。

WordPressの脆弱性を狙った「迷惑メール」は一夜にして何百、何千とのメールが送られてくることもあります。

業務に支障をきたすだけでなく、そのメールからウイルスが侵入してしまうこともあります。

 

プラグインの脆弱性を狙った攻撃

プラグインとはWordPressを便利な機能を使用することができるようにする拡張機能のようなもの。

多くのサイトでプラグインによる様々な機能が使用されています。

しかし、特定のプラグインの脆弱性を狙った世界的な被害も発生しています。

2018年にEUが施行した「一般データ保護規則(GDPR)」に準拠するために役立つプラグインに脆弱性が発見されました。

この脆弱性に対するプラグインのアップデートが公開されましたが、適用するまでの間に多くのサイトが攻撃を受けてしまいました。

攻撃を受けることによって、Web改ざんやサイトの乗っ取り、不正なサイトへの誘導などの被害が発生してしまいました。

 

Pingback機能を悪用したDDoS攻撃

Webコンテンツ管理システムのWordPressはPingback(ピンバック)と呼ばれるリクエストを受け付ける機能が初期設定で有効となっており、本来はブログ中に参照URLリンクを記述することで、参照URLに対して、URLを記載したことを通知するための機能です。

WordPressのダッシュボードでは、

  1. 設定
  2. ディスカッション
  3. 「この投稿に含まれるすべてのリンクへの通知を試みる 」
  4. 「新しい記事に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける」

がピンバック送信・受信の設定になります。

デフォルトでオンになっていることが多いようです。

この機能を利用して、WordPressで構築されたWebサイトを踏み台とし、リクエストを毎秒数百件と大量に送りつけることで攻撃対象のサイトをダウンさせる攻撃でした。

 

REST APIの処理に起因する脆弱性攻撃

WordPress 4.7.0から4.7.1には、攻撃者が細工したリクエストを送信することにより、投稿内容を改ざんすることが可能な脆弱性が存在します。

これは2017年1月に発覚した脆弱性で、WordPressの不具合の中でも深刻なものでした。

この脆弱性はコンテンツの書き換え権限に関する脆弱性で、権限のないユーザーでも特定の文字列を入力するだけでコンテンツの書き換えができてしまうというものです。

WordPress.orgは即時に脆弱性の修正パッチを公開し、対応を促しましたが攻撃者の行動も早く155万件にも及ぶ被害が出てしまいました。

 

wordpressの脆弱性の対策方法

wordpressにセキュリティ対策には、

  • バックアップを定期的の行う
  • アップデートを定期的に行う
  • 不要なプラグインは削除
  • テーマに注意する

 

バックアップを定期的に行う

サイバー攻撃によってwordpress内の情報が消えたり改ざんされる可能性があります。

しかし、バックアップしていれば安心です。

もし、バックアップを行っていない時は、最初から作り直さないといけませんね。

すると、大きな損失や手間がかかります。

バックアップの方法は、「プラグインを利用したバックアップ」「サーバー内でのバックアップ」があり、2つを併用するのが効果的です。

レンタルサーバーの場合、自動のバックアップ機能が付いているものもあります。

 

アップデートを定期的に行う

wordpressは定期的に最新バージョンにアップデートを行いましょう。

もし、古いバージョンを使っていると、脆弱性が見つかりやすかったり、脆弱性を放置し続けてしまうことになります。

脆弱性を狙われた場合、古いバージョンを利用している人がサイバー攻撃に狙われます。

旧エディタUIに慣れてしまった人は、変更されたエディタUIを使いたくないという理由でアップデートしない人もいます。

しかし、それはサイバー攻撃に遭いやすくなるため、注意が必要です。

 

不要なプラグインは削除

wordpressはプラグインを追加して自分の好きなような使用にできます。

プラグインは自由に追加できるので、多くのプラグインを入れている人もいますよね。

しかし、プラグインの数が増えれば増えるほど、セキュリティレベルは下がってしまいます。

不要なプラグインは削除しましょう。

また、利用者が少ないプラグインも不安です。

なので、多くの人が使っているプラグインがおすすめです。

 

テーマ選びに注意する

wordpressではテーマを自由に選べます。

wordpressのテーマは、デザインだけでなく機能もカスタマイズできます。

ただし、テーマによってはサイバー攻撃の対象になりやすいのもあるので注意が必要です

自分のページに問題がなくても、第三者が攻撃された時に同じテーマであることから、巻き込まれる可能性が考えられます。

公式テーマか人気が高いテーマを選ぶといいでしょう。

また、テーマのカスタマイズや変更は自由にできますが、頻繁に変更しすぎると、不具合が発生しやすくなります。

不具合が起きるとセキュリティ面が弱くなりサイバー攻撃に狙われやすくなります。

テーマの編集をしすぎるのは危険です。

 

wordpressセキュリティの脆弱性まとめ

世界中で使われているCMSであるWordpress、

誰でも使いやすく、たくさんのサイトにて採用されているWordpressですが、

利用者が多いということでセキュリティが弱いと言われています。

そこで今回の記事では、wordpressセキュリティの脆弱性とは?被害事例と対策方法についてまとめました。

それでは最後までお読みください(^▽^)/

(Visited 6 times, 1 visits today)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA