ワードプレスで特に気を付けるべき脆弱性につきまして、解説いたします。
ハッカーの手当たり次第攻撃を防ぐ
ワードプレスがハッキングされてしまう原因で最も多いのはプラグインの脆弱性です。
How Attackers Gain Access to WordPress Sites
ワードプレスをハッキングするハッカーは、Dorkと呼ばれる特殊な検索の手法を駆使して、ワードプレスサイトや、特定のプラグインをインストールしているサイトを検索エンジン経由で見つけ出して、そのサイトに脆弱性があってもなくても、とりあえず成功すれば御の字といった具合に攻撃を仕掛けてきます。
このような手当たり次第の攻撃は、簡単に突破できる脆弱性を持つプラグインを次から次に攻撃するようツールを介して行われることもあります。
この為、ワードプレスで最も警戒するべき脆弱性とは、
普及率が高いプラグイン、かつ簡単に突破でき、広範囲な活動(例えばファイルをサーバー上に生成できるなど)が可能な危険な脆弱性を持っているバージョンがサイトに導入されていないかという事になります。(プラグインが非有効化状態でも脆弱性の多くは攻撃できすので非有効になっていたとしても安心できないことに留意する必要があります)
※ワードプレスの危険な脆弱性はこちらから検索できます。また、プラグインを利用して調べていただくこともできます。
WPSCANを防ぐ
また、ハッカーが特定サイトを狙い撃ちにする場合はWPSCANというツールを使い、外部から脆弱性のあるプラグインがサイトにないかどうかを下調べをしてくる場合もあります。
※WPSCANは無料の脆弱性調査ツールで(悪く言えばハッキングツール)、特定のワードプレスサイトのバージョンや導入しているプラグインとそのバージョン、総当たり攻撃を仕掛けることもできるソフトウェアです
この為WPSCANの攻撃を防ぐための様々な施策を行う事もセキュリティー上効果が高いです。WPSCANの攻撃を防ぐには下記のような方法があります。(英語サイトです)
上記のようなWPSCANを防ぐセキュリティー対策は、【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] に組み込まれていますのでこちらもお試しいただけましたら幸いです。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください
