大量のWordPressサイトがクラックされた要因とは

Posted By t2o on 2月 13, 2015 | 0 comments


2014年末から2015年初頭にかけ、世界中のWordPressサイトがクラックされ、改ざんされたそうです。

「そうです」としか言えないのは、弊社が制作したサイトでは確認できなかったからです。
なので、この事について自分が知るのは随分後になってからでした。

要因はサードパーティ製プログラムの「脆弱性」

WordPressと言うブログシステムはPHPで書かれており、よほど注意しないと様々なセキュリティリスクを抱えることになります。
しかしWordPressの開発コミュニティは巨大な割にフットワークも軽く、WordPress本体に脆弱性が見つかったとしても即座に修正されてきています。
今回もWordPress本体ではなく、あるスライダーのプラグインが持つセキュリティホールが要因だったようです。

危険なのは訳も分からずカスタマイズすること

WordPress本体に見つかった脆弱性は、長らく放置されません。
プラグインなどで拡張を行わない素のWordPressが改ざんされたと言うことはあまり聴きません。
(ただ、サーバ由来のセキュリティホールによって、同じレンタルサーバの別なユーザによって被害に遭ってしまったと言う話は聴きます。この件は今回は除外します。)

今回クラックに遭ったサイトの多くは、以下のような特徴を持っていたようです。

  • 見栄えのするテーマを購入し、そのまま使用
  • テーマに含まれる派手な動きのスライダープラグインを使用
  • インストールした先のサーバは、特にWordPressに特化したセキュリティ強化を行っていない
  • 使用しない機能までもFTPでアップロードしてしまっている

「それって、珍しくないんじゃ無いの?」
そうお思いの方も大勢おられるでしょう。

そう、今ある大多数のWordPressサイトは上記のような状態にあります。

多くの人が購入しているテーマやプラグインは要注意

多く流通しているテーマやプラグインは、一つの脆弱性が知られると一斉に攻撃される運命にあります。
2000年前後に、Windowsマシンがコンピューターウィルスの攻撃対象として一斉に狙われた背景と一緒です。
幅広く流通している物は、攻撃者にとっては格好の獲物なのです。
今回狙われたのは、世界的に有名なテーマ販売サイトで販売された物でした。
自分には、多く流通している物の導入を避ける習性があります。
そういった物の「狙われやすさ」が怖いからなのです。

管理画面でカスタマイズ出来るテーマやプラグインは要注意

最近のテーマやプラグインの中には、インストールすると管理画面にファイルのアップローダが現れたり、フォームの窓が現れてDBに読み書きを行う物があります。
この機能は一歩間違えるとトロイの木馬になります。
WordPress本体以外にファイルをアップロード出来るスクリプトがあると言うことは、WordPress開発コミュニティの監視を逃れたバックドア(になり得る物)が存在していると言うことです。
いくら本体側でセキュリティに気を遣っても、脆弱性のある別なプログラムが身内にいたのでは、手の施しようがありません。
又、管理画面からDBに読み書き出来るように作られたスクリプトも、セキュリティホールとなる可能性を持ちます。
DBへ読み書きが出来ればユーザーだって任意に作れてしまいますので、結果的に管理者権限を奪われ、なすすべも無くサイトは改ざんされてしまいます。
WordPressのテーマやプラグインを作ったことがあれば、このあたりの機能を実装することが容易で、しかもセキュリティ面を考慮するのが大変なのかが解るはずです。
テーマやプラグインを作ったことが無い人は、仕事でWordPressに手を出す事は止めた方が身のためだと思います。

クラックされにくいWordPressのサイト作成ポリシーとは

様々なノウハウがありますが、今回は話題をサードパーティ製プログラムに絞って、お話ししましょう。
自分が重要だと痛感しているのは、過剰に管理画面に機能を付け足すテーマやプラグインをインストールし過ぎないようにすることです。
更にそれらを選定する際には、出来るだけ多くの人が使っている物を選ばない事です。
別な似たような物を探してみて、そちらを試す事も有効だと思います。
(主流になれずメンテナンスされなくなり、消えていくこともありますが)
テンプレートを弄ることで済むのであれば、それに越したこともありません。
原則としてファイルのアップロードはFTPから行い、DBにアクセスしたいのならsql文を書いてphpMyAdminあたりから適用する癖を付けたい所です。(シェルからでも良いですが)
そして頻繁に変更しない箇所なら、昔ながらのテンプレートファイル編集で変更を行うのです。
管理画面からの変更で作成してしまったサイトでも、サイトの形が出来てからテーマディレクトリの中にある管理画面関連のファイルを、削除又は待避させてしまう事も有効です。

サーバの選定も重要です。
海外から管理画面へのアクセスを禁止しているサーバもあります。
wp-login.phpに対してログイン試行回数を制限しているサーバもあります。

最後に、売り物のWordPressテーマ詰め合わせが、地下ルートで出回っていると耳にしたことがあります。
・・こんな物、もう何が仕込まれているか解ったものでは無いですよね。

Submit a Comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Time limit is exhausted. Please reload CAPTCHA.