ワードプレスの約6割の改ざん被害の原因は、古いワードプレス本体やプラグインの脆弱性を原因としています。その中には0デイ攻撃というものがあります。こちらを解説いたします。


プログラムの脆弱性とは?

ワードプレスはプラグインも含めると数千のPHPプログラムでできています。そのプログラムの中には外部から送信されたデータを処理する物も多数ございます。

この処理方法に不備があると、例えば、外部から不正なデータを送信し、任意のファイルをサーバーに書き込んだり、ファイルを編集したりできてしまう場合がございます。

こういった制作者の意図しない不正な処理を可能とするプログラムのバグ(もしくは隙)を脆弱性と言います。

参考
ワードプレスにおけるプログラムの脆弱性とは?

0Day 攻撃とは?

0 Day 攻撃 とは、この脆弱性をふさぐアップデートが提供されていない状況下での攻撃の事です。

・セキュリティーパッチが提供されていないので対処することができない
・脆弱性そのものが既知でない場合もある

脆弱性をふさぐ手段が提供されていない、かつ脆弱性が既知でない場合の0Day攻撃を防ぐ方法は残念ながらありません。
ただ、このような脆弱性は、それを発見した本人もしくは、極めて小規模の集団にしか、その時は知られていないことから、こういった攻撃にさらされる確率はまずほとんどないと考えてよいかと存じます。

危険なのは、脆弱性が既知にも拘わらずセキュリティーパッチが提供されていないプラグインなどを使用し続けること

0Day攻撃を、警戒するべきは、脆弱性が既知になっているにもかかわらず、それをふさぐアップデートが提供されていない場合の攻撃です。

ワードプレスのプラグインは、その製作者が開発をやめている場合もあり、脆弱性が見つかっても放置されてしまうことがあります。

この場合、ワードプレスの公式サイトはそのプラグインの配布を停止したり、検索エンジンに引っかからないよう処置しますが、すでにそのプラグインを使用しているサイトのプラグインには脆弱性が残り続ける形になります。

脆弱性を調べ、アップデートが提供されれていないプラグインは使用を停止する

ワードプレスの脆弱性を調査し、脆弱性が発見された場合、そのプラグインをアップデートできるかプラグインの管理画面などで調べます。

脆弱性を調べるには
WPSCANよりプラグインなどを検索して調べることも可能です。

また、【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] を使用して脆弱性検査することも可能です。

もし脆弱性のあるプラグインが更新できない状態で長期間経過している場合は、そのプラグインを停止削除いただくことをお勧めいたします。(高度な対処方法として後悔されている脆弱性情報を頼りにその脆弱性だけをふさぐプログラムを追記するという方法もございます)

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください