ワードプレスのプラグインの脆弱性検査は定期的に行った方がいいと考えられます。この理由について解説いたします。

ワードプレスが改ざんされる(ハッキングされる)原因の6割近くはプラグインの脆弱性


Source: Www.Wordfence.Com

こちらはWordFence社が公開しているワードプレスがハッキングされる原因のグラフとなっています。
1位はプラグイン(6割近く)、2位はブルートフォース(ログイン総当たり攻撃 2割近く)、3位がワードプレスの本体ファイル(1割以下)、4位がテーマとなっていますね。
つまりワードプレスがハッキングされる原因で最も多くかつ、圧倒的なのはプラグインの脆弱性なのです。

※日本において弊社の体感としましては、テーマは日本製のものが使われている場合が多々あり、かつホスティングは共用サーバーである場合が多い為、4位と5位のテーマやホスティングが原因となっている割合はもっと低くおそらくプラグインの脆弱性とブルートフォースが原因となる場合が9割を超えるのではと考えております。

この為、ワードプレスのプラグインの脆弱性はワードプレスのセキュリティー対策で最も気を付けるべき項目と言えるかと存じます。

なぜプラグインの脆弱性がハッキングに利用されるのか?

ワードプレスのプラグインの脆弱性は、注意喚起やプラグインのアップデートを促す観点から、NISTなどで公開されています。

例 ワードプレスの脆弱性一覧
https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=wordpress&search_type=all

しかし、これはハッカーも利用できる情報の為、ハッカーは次から次にこの脆弱性を突くソフトウェアを作って、大量のワードプレスに攻撃を仕掛けてきます。

ハッカーが狙う脆弱性は、普及しているプラグインでかつログインなしにサイトのファイルのダウンロードや改ざんができる等の危険度(ハッカーにとっては自由度)の高い脆弱性です。

危険な脆弱性は大量にある?

プラグインの脆弱性は日々膨大に発見されているものの普及しているプラグインでかつ最も危険性の高い脆弱性は、実は発見される数は非常に少ないです。(年間数件かと思います)

しかし、年間数件でも数年で数十の強力な脆弱性のコレクションができてしまう事になり、数年間プラグインを更新していないサイトというのは膨大にあるのが現状です。

この為、ハッカーは古いかつ危険な脆弱性を残しているサイトを探し出して攻撃するのです。

脆弱性への対処方法、脆弱性検査

プラグインの脆弱性をつぶすのに、最も簡単な方法は、プラグインを更新することです。しかし、更新が停止されて脆弱性が放置されているプラグインも多々あります。
この場合は、プラグインごとに危険性の高い脆弱性があるかを調べて、もしある場合はプラグインの利用を停止削除する(もしくはプログラミングして個別プラグインの脆弱性をふさぐことも可能ですが難易度が高くなります)という形で脆弱性対策をすることになります。

脆弱性は下記のようなサイトで検索することが可能です。
https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=wordpress&search_type=all

WPSCAN

弊社が開発したプラグインで2千件に及ぶ、最も危険な脆弱性を簡単に検査できます。こちらもご利用いただけましたら幸いです。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスのマルウェア駆除のご依頼・ご相談はWPドクターまでお気軽にお送りください