共通脆弱性評価システムCVSSスコア
ソフトウェアの脆弱性は、客観的にその深刻度を計測するための指標=CVSSスコアというものがございます。
CVSSスコアは10段階で下記の基準によって基本的には導かれます。
AV :攻撃がインターネット経由で遠隔で可能か?
AC :攻撃を成功させる要件が複雑か?
Au :攻撃を成功させるのに認証が必要か?
C :攻撃が成功した場合に深刻な情報漏洩が起こるか?
I :攻撃が成功した場合に情報が改ざんされうるか?
A :攻撃が成功した場合に業務停止(サイトがダウンする、見れなくなる等)の危険性があるか?
CVSSスコアが7~8以上の脆弱性は残念ながら日々ワードプレスのテーマやプラグインで報告され続けており、このスコアレンジの脆弱性をハッカーがあなたのサイトで見つけてしまうと、
サイトが認証なしで遠隔(インターネット経由で)改ざんされたり、サイトの表示がされなくなってしまうなどのサイトにとっては致命的な損害を受けることになります。
あなたのサイトの脆弱性が見つかるはずがないと侮るのは危険です
世の中にあまたあるウェブサイトであなたのサイトの脆弱性が見つかるはずがないと考えられるのは実は危険です。ハッカーは下記のような方法手順で脆弱性のあるサイトを探し当てることができます。
1 調査
1-1 ワードプレスサイトが登録されているポータルサイトからあなたのサイトのURLを抜き出します
1-2 検索エンジンでワードプレスに特有の表現で(例としてサンプル投稿の文字列)ワードプレスサイトのURLを得ます
1-3 脆弱性のあるプラグインのディレクトリインデックス(INDEX.HTMLがないフォルダがファイルリストのページとして表示され、検索エンジンが拾っている場合がございます)を検索して探し出します
2 攻撃
ハッカーにとって都合のよい脆弱性のあるサイトが見つかるとハッカーは下記のような手順でサイトに侵入し、マルウェアを埋め込むなどのハッキング行為を行います。
2-1 総当たりでログインを繰り返し管理者権限を奪取します
2-2 テーマやプラグインの脆弱性を一気に調べて侵入可能かどうかわかるツールを使い侵入します
2-3 1-3の脆弱性を直接ついて侵入します
CVSSスコアの高い脆弱性がサイトに無いか調べましょう
ワードプレスドクターが開発した【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] をお使いいただくと、CVSSスコアの高い脆弱性があなたのサイトに無いか、内部から正確に調べることが可能です。
プラグインをインストールされたら、
管理画面>Malware Scan>脆弱性タブ>脆弱性検査の実施 ボタンをクリックされてください。
しばらくすると、有効でないプラグインも含めて最も危険な脆弱性(CSVVスコア7.5以上)がないかどうかを調べて結果を表示いたします。
WordPress ワードプレスのマルウェア駆除、セキュリティー対策はワードプレスドクターにお気軽にご相談ご依頼ください
