こちらのブログでも利用しているコンテンツ管理システムのWordPressですが、これを狙ったサイバー攻撃が急増していることが報道されていました。
WordPressは2018年10月時点のW3Techsの調査によれば世界中で公開されているホームページのうち、実に約3割で利用されているという調査結果があるほどポピュラーなコンテンツ管理システムです。したがって、攻撃者から見るとWordPressの脆弱性を把握してそこを攻撃すれば、世界の中の約3割のサイトを攻撃できるので効率が良いことになります。
セキュリティ企業の米デファイント社は1日で5000万件以上の攻撃を観測したことを報じる記事です。WordPressには運営者がコンテンツ管理システムに簡単に付加機能を付けられるプラグインという仕組みがあります。今回の攻撃の内容はWordPressのプラグインにある脆弱性を利用して、そのWEBサイトに侵入してコンテンツを改ざんします。例えば、一部のPHPファイルを書き換えるような手口です。そして改ざんされたコンテンツに利用者がアクセスすると、別のWEBサイトに誘導されるようなことが発生します。
ここ2年ほどの間のプラグインの脆弱性は、2018年11月の「WP GDPR Compliance」、2018年8月の「tagDIV」というテーマ、「Ultimate Member」というプラグインなどで見つかっています。さらにはこちらに脆弱性対策データベースがあるのですが、これで一覧を見ると、信じられないほど多くの脆弱性がヒットするので怖くなってきます。
プラグインはWordPressが提供しているディレクトリを通して公開されているものの最新版に常に更新をしておくことが大事です。また、そのプラグインの作者の方が長い期間にわたってメンテナンスを実施していないプラグインも中にはあります。このようなプラグインは利用するのを止めて、同等の機能を持つ別のメンテナンスが行われているプラグインに乗り換えた方が良いでしょう。
また、WordPressには公式のディレクトリで公開されているプラグイン以外もインストールすることが可能です。しかし、このようなプラグインは既に汚染されている可能性もありますので、安易に利用しない方が良いです。
利用していないプラグインは単に無効化しておくだけではなくて、確実に削除してしまいましょう。
今回はプラグインに対する注意が行われていますが、WordPress本体やWordPressで利用しているテーマについても同様です。WordPress本体やテーマにも脆弱性が見つかる場合がありますので、常に最新版にアップデートしておくことが大切です。
コメント