“WordPress”は、オープンソースで気軽に使えるCMS(Contents Management System)として、多くの方に利用されています。
ただ、気軽に使える反面、脆弱性が見つかりやすいという欠点があり、たびたび脆弱性がターゲットになった事例も確認されています。
ここからは、WordPressの概要と脆弱性、そして脆弱性がターゲットになった事例などについて解説します。
“WordPress”の概要
WordPressは、サイトの作成やブログの作成などができるCMSの1つで、無料で利用できるソフトウェアです。
Web関連の知識がない方でも、サイト管理や記事の投稿が可能であり、世界中のサイトのおよそ1/4は、WordPressで構築されているとまで言われています。
ただ、冒頭でも触れたように、WordPressは脆弱性が見つかりやすいものであり、サイバー攻撃者が攻撃対象として好むという側面があります。
では、WordPressの脆弱性とは、一体どのようなものなのでしょうか?
WordPressの脆弱性とは?
WordPressは、脆弱性が見つかりやすく、サイバー攻撃者が攻撃対象として好むものであることは事実ですが、他のプログラムと比べて、“脆弱性が多い”というわけではありません。
WordPressが脆弱性を突かれやすい原因は、WordPressを取り巻く環境にあります。
WordPressに対する攻撃方法を攻撃者に把握されてしまうと、世界中のサイトの1/4は攻撃されてしまう可能性があり、攻撃者にとっては、非常に効率が良いのです。
また、WordPressは、管理画面のURLが決まっており、WordPressを利用したサイトにこのような共通点が多いことも、攻撃対象になりやすい理由だと言えます。
WordPressの脆弱性がターゲットになった事例①“IS”を名乗る改ざん
2015年3月頃、過激派組織“IS”を名乗る改ざん被害が、日本を含む世界各地で報告されました。
これは、WordPressが利用されたサイトの一部が被害対象となったものであり、企業や公共団体だけでなく、政府機関のWebサイトでも確認されています。
また、この被害が発生したことで、FBIや日本の警察庁が注意喚起を行うという事態に発展しました。
ちなみに、この被害の原因は、“Fancybox for WordPress”というWebサイト管理用ソフトウェアの脆弱性を突かれたことだとされています。
WordPressの脆弱性がターゲットになった事例②Pinbackを悪用したDDoS攻撃
2014年、WordPressの“Pinback”と呼ばれる機能を悪用したサイバー攻撃が多く発生しました。
これは、WordPressで構築されたWebサイトを踏み台とし、リクエストを大量に送り付けることで、対象のサイトをダウンさせることが狙いです。
いわゆる、“DDoS攻撃”ですね。
また、この攻撃には、サイトを不正なソフトウェアに感染させるわけではなく、WordPressが持つ機能自体の脆弱性を突くものであるという特徴があります。
WordPressの脆弱性がターゲットになった事例③WordPress向けのテーマ、プラグインの脆弱性を突いた攻撃
2018年8月、WordPress向けのテーマ“tagDiv”や、プラグイン“Ultimate Member”の脆弱性を突き、サイトを改ざんして、有害なサイトへジャンプさせる攻撃が確認されました。
これらの攻撃は、2つ併せて2,200件以上のサイトに被害をもたらしたとされており、当時大きな話題となりました。
WordPressの脆弱性がターゲットになった事例④WordPressを踏み台にしたホスティングサーバーの乗っ取り
2019年1月、“大塚商会”のホスティングサーバーに、不正ファイルが設置される事件が発生しました。
最初に攻撃被害を受けたのは、ホスティングサーバーの利用者であり、この利用者は、WordPressを利用していました。
つまり、攻撃者は、WordPressの脆弱性を突いており、それを踏み台にして、ホスティングサーバーが乗っ取られたということです。
ただ、この乗っ取りによって、個人情報の流出などは確認されていません。
WordPressの脆弱性への対処法について
WordPressの脆弱性への対処は、決して難しいものではありません。
専門知識を有していない方でも、ある程度の対策を取っておくだけで、十分対処できます。
具体的な対処法は以下の通りです。
①ユーザー名、パスワードを複雑なものにする
脆弱性を突かれ、管理者アカウントを乗っ取られないためには、まずユーザー名を推測されにくい、複雑なものにしましょう。
また、パスワードは“1234”のような簡単なものではなく、バラバラの数字で構成することをおすすめします。
②プログラムを最新の状態に保つ
WordPress本体、またはプラグインなどは、脆弱性が見つかるとすぐにアップデートが公開されます。
そのため、この通知を見逃さず、常にプログラムを最新の状態に保つことでも、ある程度の脆弱性対策となります。
③重要な設定ファイルへのアクセスを防ぐ
WordPressの設定ファイルへのアクセスを防ぐために、FTPソフトで“ファイルの属性(パーミッション)”を変更するなどしましょう。
④使わないプラグインは削除する
使わないプラグインを削除することは、プラグインの脆弱性対策となるため、おすすめです。
まとめ
WordPressを利用している方は、今回解説したような被害に遭わないために、ぜひ“SiteLock”を導入しましょう。
SiteLockは、ユーザーのウェブサイトを監視、診断できるクラウドセキュリティサービスであり、導入すれば、セキュリティ事故発生時、速やかに復旧に向けた処置を進められるようになります。
低料金で即日スタートできるプランもあるため、1度チェックしてみてください。
