wordpressスマホ対応サイト・wpプラグイン・検索体験最適化・SNS・ 動画・bgmやテーマ曲を駆使して、リアルビジネスへの集客を達成するためのコラム!

   

wordpress屋のマルチメディアコンテンツ制作読んどけ☆コラム

【セキュリティ・脆弱性対策2018】wordpressでサイバー攻撃されやすいファイルってどんなのがあるの?

   

こんにちは、管理人@SS_mshpです。

今回は、wordpress利用者にも気になる『サイバー攻撃』についてです(以前は、しょっちゅうアタックされてる印象がありました笑)。

ほっとくと、『不正アクセスやサイトの改ざん』などといった被害につながる可能性もあります。セキュリティー系の企業さんが公開した2018最新の興味深い資料もありますので、さっそくチェックしてみましょう。

今回チェックする資料『日本国内におけるWordPressセキュリティの現状』

いろいろセキュリティーについて検索してたら、2018最新の資料を見つけました。

作った会社は『ジェイピー・セキュア』社で、『サイトガード』などのインターネットセキュリティー系のサービスを提供しています。資料の内容としては『2017年末くらいの(新しいデータ)、wordpressなどの最近のサイバー攻撃のされ方・手法・対象ファイル』などです。

資料へのデータ提供にWADAXやロリポサーバーといった、GMO系列の利用者が多いサーバー会社が協力しており、母数の大きなデータを確認することができます。もちろん、wordpressユーザーでなくても、動的生成するサイトを持っている場合は、参考になる点が多いといえます。

(PDF資料:日本国内におけるWordPressセキュリティの現状~<JP-Secure Labs Report Vol.01>)
https://www.jp-secure.com/document/labs/JP-Secure_labs_Report_Vol.01.pdf

最近のwordpressの攻撃され方の傾向~xmlrpcやテーマ・プラグインが多い

本体ファイルはきちんとアップデートしていればねらわれにくい、ただしxmlrpcには注意

2017年くらいに、REST-APIの深刻な脆弱性が出たりしましたが、その脆弱性を対策したパッチがわりとすぐに出たりしています。コアファイルはきちんとアップデートしておけば、危険性が低いというのが、セキュリティー会社的な見解のようです。

実際に、『脆弱性の検出は本体7%・プラグイン93%(14ページ)』という数値が出ています。しかし、自動でついてくる本体のファイル『xmlrpc.php』については、攻撃される頻度が高いという結果がでました。これは2014年くらいの段階ですでに、『ブルートフォース攻撃の対象になっている』という点が指摘されていました。

ちなみにこのサイト(読んどけコラム)には、『xmlrpc.php』は入っていません(笑)

wordpressのねらわれやすいファイルは、プラグイン・テーマ(攻撃される頻度が高い)

『xmlrpc.php』が攻撃されやすいのに続き、『wp-content/pluginsやwp-content/themesが攻撃される頻度が高い(9ページ)』との結果がでました。
というのも、『開発元が既に活動停止していて、更新やメンテがされていないプラグインやテーマ』『入れっぱなしで放置のプラグイン』などがあるからです。

脆弱性が確認されたプラグインバージョンなどもリスト化してある

この資料で興味深いのは『脆弱性が発見されているプラグインの、攻撃され方や、対象のバージョン』がリスト化されている点でした(15~17ページ)。

『Ultimate Instagram Feed1.3~1.31/XSS(クロスサイトスクリプティング)』
『Simple Events Calendar1.35/SQLi(SQLインジェクション)』
『yoast seo5.71/XSS(クロスサイトスクリプティング)』
などといった具合に。

wpユーザーの方は、該当するものがあるかどうかチェックしておくと良いでしょう(他にもいろいろあります)。

対策方法は?

  • まずはどのような攻撃が発生しているか、脅威を知る
  • 本体やテーマ、プラグインのアップデートはこまめに行う(古くて脆弱性があるバージョンは攻撃されやすい)
  • 余計なプラグインはあまり入れない(重くなる、使わないと更新忘れたり&狙われやすいから)
  • パーミッションも気にする(config.phpは400など)
  • パスワードもなるべく複雑にする(シンプルすぎると、ブルートフォース攻撃で突破される)

基本ですが、こういったところでしょうか。開発とかになると『きちんとエスケープする』などもチェックしていく感じでした。

あとがき・まとめ

wordpressはユーザーが多いこともあり、しょっちゅうサイバー攻撃の標的になっているイメージがありましたが(管理人の個人的な感想)、その内情は『実はプラグインやテーマ・xmlrpcなどの特定ファイル』がターゲットになりやすいということがわかりました。
きちんとアップデートしていれば、本体は攻撃に耐えきれそうというのもポイントです。

攻撃されるパターンを一通り頭に入れて、テーマやプラグインバージョン・パーミッション・パスワード&ログインフォームなどにも気を使っていくと良いでしょう。

wpサイト制作受付サイトへ
*アトリエSS・web制作サービスページに移動します。webリニューアル・ロゴ・記事・wordpress化などでお力添えできます。

【カテゴリ】 - webサイト制作 【タグ】 -

Message

メールアドレスが公開されることはありません。

  関連記事

侍エンジニア塾ブログにあったPHPコードをシンプルに書いてみる(foreachで配列キーや値取得・continueで空要素スキップ)

今回は、(自分もまだプログラム学習中の身ですが)よくある『プログラム学習 …

【PHPでWPカスタマイズ】プラグイン不使用で、テーマに関連記事表示機能を実装しPV・滞在時間を上げる

今回は、サイトをしっかり見てもらうために、『WordPressサイトに、 …

PHP・shuffleやarrayを使った、画像ランダム表示方法~メインビジュアルやバナー・テキストにも利用可能

今回は、以前お取引先のスクールの担当者さまと、『サイトのメインビジュアル …

wordpress構成ファイルのxmlrpc.phpを無効化する方法【実は攻撃されやすい】

今回は、wordpressの構成ファイルで、ちょっとクセのある『xmlr …

【別に止めなくてOK】wordpressサイトなどに、アメブロ・fc2など無料ブログの更新情報を表示して連携する方法

今回は、『無料ブログにすべきかwordpressにすべきか』という疑問に …

【マテリアルデザインCSSフレームワーク】Materializeで、カッコいいビジネスサイト(静的HTML)を作る

今回は、フレームワークを使ったサイト制作を行ってみます。 利用するのは『 …

【wordpressカスタマイズ】llorix_oneなどビジネストップ1カラムテーマで、カスタマイザーで入らない動画・オーディオを入れる

今回は、人気の海外ディベロッパーのwordpressテーマで、動画やオー …

【WPカスタマイズ】子テーマさえ入れとけば大丈夫?なわけねーだろ!(親テーマに手を入れる・ファイルコピー適応させる羽目になる事例)

今回は、推奨されてるWPの子テーマについてですが、『結局親テーマいじる羽 …

ワードプレスでデータベースにたまる余計なデータって何があるの?事例と対処方法

今回は、ワードプレスのサイトでよくある『データベースにたまる余計なデータ …

【WPカスタムフィールドはこう使う】カップ焼きそばレビュー記事に、カスタムフィールドで評価スコアを(CSSつけ方もあり)

今回はwordpressの機能『カスタムフィールド』で、より具体的に利用 …

【PHPで条件分岐】wordpressのサイトで、ページごと(固定・記事・カテゴリ・複数ページ)に、表示される内容を変えたいっ!

今回は、wordpressのサイトで使われるPHPプログラムの条件分岐で …

wordpressの仕組み~ヘッダーに入ってくるCSSは、どのように出力されるか(wp_headにcustomize_cssをadd_action)

今回は、自分のフリー曲素材サイトのチューニングをしてて、wordpres …

PREV
【WPの仕組み】スマホとかに対応するレスポンシブ化(デバイスに応じてレイアウト変動)ってどうなってるの?
NEXT
【ロリポwordpress高速表示でSP90超えろ】ロリポップサーバーで『コンテンツキャッシュ機能』提供開始・設定方法と効果のチェック