ワードプレスで「『使ってないプラグイン』が攻撃経路になる理由──削除 vs 無効化の違いについて解説いたします。
この記事の目次
ワードプレスのプログラムの脆弱性が攻撃される経路
ワードプレスのプログラムの脆弱性が攻撃される場合、主に次のような経路となります。
1 admin-ajaxで脆弱性を利用し攻撃される
ワードプレスには、admin-ajaxというバックうグラウンドで通信する仕組みが組み込まれています。
多くのプラグインがこの仕組みを利用しており、プラグインによっては、この関数の使い方が脆弱性を発現させるようなものになってしまっている場合があります。
ハッカーはadmin-ajaxにこの脆弱性を利用するクエリを送り込んで様々なハッキング活動を行います。
このタイプの攻撃は脆弱性のあるプラグインが非有効化されている場合は効力を発揮しません。
2 ワードプレスの関数の利用方法の不備の脆弱性を利用される
admin-ajax以外にもワードプレスには様々な組み込み関数がございます。この組み込み関数を利用していて、その利用方法に不備があり、プラグインのファイルに直接アクセスしないような脆弱性の発現方法が攻撃に利用される場合プラグインが非有効化されている場合は効力を発揮しません。
このタイプの脆弱性はREST APIというワードプレスの外部通信インターフェイスを利用する物や、プラグインに定義されているショートコードを利用するものなどがあります。(ショートコードは非有効化されているプラグインでは実行できません)
3 プログラムの脆弱性に直接アクセスされ、攻撃に利用される
プログラムの脆弱性に直接アクセスすることでハッカーが攻撃に利用できる脆弱性も存在します。
このタイプの脆弱性はプラグインを非有効化していても、攻撃に利用されます。
例えば下記のような脆弱性はプラグインを非有効化していても攻撃に利用されることがあるとされています。
https://wp-doctor.jp/blog/vulnerabilities/litespeed-cache-exploit-cve-2023-40000/
※多くのプラグインのファイルに下記のようなコードが挿入されているのは直接ファイルアクセスによる脆弱性攻撃を防ぐためです。
if ( ! defined( ‘ABSPATH’ ) ) {
exit;
}
このコードはプラグインが非有効化されている場合は定義されていない’ABSPATH’があるかどうかを調べ、ない場合は処理を強制終了します。しかし脆弱性のあるプラグインではこのような直接アクセスを防ぐコードの挿入が行われていない場合もあります
4 別のハッカーが設置したバックドア等の不正なプログラムを攻撃に再利用される
このタイプの攻撃は非常に多いものの、攻撃が成功する場合はすでにハッカーの侵入を許しバックドア等が設置されている為、プラグインの有無や非有効化状態は関連しないことが多いです。
非有効化状態のプラグインは削除していただくことをお勧めいたします
サイトの運用者様の中には、非有効化されているプラグインは、ハッキングには利用されないだろうと考えられている場合があります。
この為、非有効化状態のプラグインを放置し、バージョンが非常に古くなっている場合があり、余計に脆弱性のリスクを高めてしまっている事例がございます。
非有効化状態でもファイルに直接アクセスして利用できる脆弱性は存在し、かつ無視できないほど多い為、非有効化状態のプラグインはサーバーから削除いただくことをお勧めいたします。
基本的に非有効化されているプラグインはその機能自体が丸ごと使用されていないことがほとんどですので削除いただいても問題ない場合が多いです。ただ、ご心配な場合はサイトのフルバックアップを行ってから削除いただくことをお勧めいたします。
ワードプレスの脆弱性検査、マルウェア検査駆除・プラグインはこちらから
WordPress ワードプレスのマルウェア駆除・セキュリティー対策、アップデートを安全に代行いたします。WPドクターにお気軽にご依頼ご相談お送りください
