【セキュリティ・脆弱性対策2018】wordpressでサイバー攻撃されやすいファイルってどんなのがあるの?
こんにちは、管理人@SS_mshpです。
今回は、wordpress利用者にも気になる『サイバー攻撃』についてです(以前は、しょっちゅうアタックされてる印象がありました笑)。
ほっとくと、『不正アクセスやサイトの改ざん』などといった被害につながる可能性もあります。セキュリティー系の企業さんが公開した2018最新の興味深い資料もありますので、さっそくチェックしてみましょう。
今回チェックする資料『日本国内におけるWordPressセキュリティの現状』
いろいろセキュリティーについて検索してたら、2018最新の資料を見つけました。
作った会社は『ジェイピー・セキュア』社で、『サイトガード』などのインターネットセキュリティー系のサービスを提供しています。資料の内容としては『2017年末くらいの(新しいデータ)、wordpressなどの最近のサイバー攻撃のされ方・手法・対象ファイル』などです。
資料へのデータ提供にWADAXやロリポサーバーといった、GMO系列の利用者が多いサーバー会社が協力しており、母数の大きなデータを確認することができます。もちろん、wordpressユーザーでなくても、動的生成するサイトを持っている場合は、参考になる点が多いといえます。
(PDF資料:日本国内におけるWordPressセキュリティの現状~<JP-Secure Labs Report Vol.01>)
https://www.jp-secure.com/document/labs/JP-Secure_labs_Report_Vol.01.pdf
最近のwordpressの攻撃され方の傾向~xmlrpcやテーマ・プラグインが多い
本体ファイルはきちんとアップデートしていればねらわれにくい、ただしxmlrpcには注意
2017年くらいに、REST-APIの深刻な脆弱性が出たりしましたが、その脆弱性を対策したパッチがわりとすぐに出たりしています。コアファイルはきちんとアップデートしておけば、危険性が低いというのが、セキュリティー会社的な見解のようです。
実際に、『脆弱性の検出は本体7%・プラグイン93%(14ページ)』という数値が出ています。しかし、自動でついてくる本体のファイル『xmlrpc.php』については、攻撃される頻度が高いという結果がでました。これは2014年くらいの段階ですでに、『ブルートフォース攻撃の対象になっている』という点が指摘されていました。
ちなみにこのサイト(読んどけコラム)には、『xmlrpc.php』は入っていません(笑)
wordpressのねらわれやすいファイルは、プラグイン・テーマ(攻撃される頻度が高い)
『xmlrpc.php』が攻撃されやすいのに続き、『wp-content/pluginsやwp-content/themesが攻撃される頻度が高い(9ページ)』との結果がでました。
というのも、『開発元が既に活動停止していて、更新やメンテがされていないプラグインやテーマ』『入れっぱなしで放置のプラグイン』などがあるからです。
脆弱性が確認されたプラグインバージョンなどもリスト化してある
この資料で興味深いのは『脆弱性が発見されているプラグインの、攻撃され方や、対象のバージョン』がリスト化されている点でした(15~17ページ)。
『Ultimate Instagram Feed1.3~1.31/XSS(クロスサイトスクリプティング)』
『Simple Events Calendar1.35/SQLi(SQLインジェクション)』
『yoast seo5.71/XSS(クロスサイトスクリプティング)』
などといった具合に。
wpユーザーの方は、該当するものがあるかどうかチェックしておくと良いでしょう(他にもいろいろあります)。
対策方法は?
- まずはどのような攻撃が発生しているか、脅威を知る
- 本体やテーマ、プラグインのアップデートはこまめに行う(古くて脆弱性があるバージョンは攻撃されやすい)
- 余計なプラグインはあまり入れない(重くなる、使わないと更新忘れたり&狙われやすいから)
- パーミッションも気にする(config.phpは400など)
- パスワードもなるべく複雑にする(シンプルすぎると、ブルートフォース攻撃で突破される)
基本ですが、こういったところでしょうか。開発とかになると『きちんとエスケープする』などもチェックしていく感じでした。
あとがき・まとめ
wordpressはユーザーが多いこともあり、しょっちゅうサイバー攻撃の標的になっているイメージがありましたが(管理人の個人的な感想)、その内情は『実はプラグインやテーマ・xmlrpcなどの特定ファイル』がターゲットになりやすいということがわかりました。
きちんとアップデートしていれば、本体は攻撃に耐えきれそうというのもポイントです。
攻撃されるパターンを一通り頭に入れて、テーマやプラグインバージョン・パーミッション・パスワード&ログインフォームなどにも気を使っていくと良いでしょう。
【カテゴリ】 - webサイト制作 【タグ】 - ワードプレス
関連記事
-
-
ワードプレスの子テーマって、なぜ必要なの?
今回は、ワードプレスサイトを作るときにたまに話題になる『子テーマ』につい …
-
-
【ワードプレステーマカスタマイズ】勝手にヘッダーの追加CSSで入ってくるマージンを消したいんですけど
今回は、ワードプレスのテーマカスタマイズしてオリジナルデザインにするとき …
-
-
ワードプレスサイトの独自ドメイン解除方法
今回は、以前『ワードプレスに独自ドメインを設定する方法』を書きましたが、 …
-
-
有名サービス・企業ectで使われる印象的な色を、CSSで使えるカラーコードで覚えよう(色商標についても)
今回は、身近なサービスとかに使われている色って、カラーコードだとどうなっ …
-
-
ワードプレス記事一覧ページの『本文からの抜粋』を表示する関数と、その文字数の調整方法をチェックする
今回は、ワードプレスの文字を出力する関数についてです。 レイアウトをいじ …
-
-
(ヘッダーとか見出しの要素を)片方だけ丸い・台形・矢印などおしゃれデザインにできるCSSやってみた
今回はWebサイトでよくある『ガチガチ長方形とか正方形みたいな要素』では …
-
-
googleカレンダーとメールフォームで、予約受付ってできるの?iframeレスポンシブに気をつけて
今回は、googleカレンダーとメールフォームで、予約受付ページを作って …
-
-
bootstrapのcolクラスをとphp関数を使って、3列レイアウトとブログ2カラムを切り替える
今回は、1ドメイン・1サイトで『トップページやコーポレート部分は1カラム …
-
-
【CSS3でおしゃれなサイトに】画像(星空)をくるくる回す(キーフレーム・transform:rotateなど)
今回は、CSSを使って、動きのあるサイトを作ってみたいと思います。 絵は …
-
-
音声セミナー・講座・音楽視聴をサイトに実装できる、HTML5 audio要素を使いこなそう
今回は、管理人もこのサイトやお仕事受付サイトで使用している、便利なHTM …