ワードプレスで最もよく見られる脆弱性はCross Site Scripting (XSS)クロスサイトスクリプティングと呼ばれる脆弱性です。こちらについて解説したいと思います。
クロスサイトスクリプティングの脆弱性とは?
クロスサイトスクリプティングとは、簡単に申し上げますと、任意のJAVASCRIPTをブラウザー上で実行されてしまう脆弱性です。
JAVASCRIPTとは、サーバーではなくユーザーのブラウザーで実行されるプログラムで、サイトの動きを制御したり、裏で通信をしてデータを持ってくるなどの処理を行いますが、ファイルの書き込みやユーザーのコンピューターへのアクセスなどが大きく制限されているスクリプトです。
この為、クロスサイトスクリプティングの脆弱性があったとしても、ワードプレスサイトのサーバー上のデータの改ざんされることはございません。
クロスサイトスクリプティングの脆弱性があると何をされてしまう?
クロスサイトスクリプティングで悪意あるJAVASCRIPTコードを含む、リンクをユーザーがクリックしてしまうと、あなたのサイト上で、任意のJAVASCRIPTが実行されてしまいます。
この場合に、下記のような被害をユーザーが受ける可能性があります。
・悪意あるサイトの広告や詐欺サイトへユーザーが誘導されてしまう
・あなたのサイト上でのユーザーのログイン情報(ブラウザーのCookieに保存されている情報)がハッカーに送信されてしまう
(このためユーザーがログインを行うサイトではXSSは特に注意する必要があります)
・ワードプレスの管理者のログイン情報が送信されてしまう。
(ただし、このログイン情報は暗号化されていますので即時に管理者権限のログインが漏れるわけではありません。この記事を参照されてください。)
・スパムメール送信の踏み台やDDOS攻撃の踏み台としてXSSが利用される
※XSS事態にメール送信機能はありませんが、ワードプレスサイトのコンタクトフォームをXSSで動作させてしまうことが可能です
・XSS以外の脆弱性との合わせ技でそのほか様々な攻撃が可能となる可能性があります
クロスサイトスクリプティングの脆弱性を防ぐには?
クロスサイトスクリプティングの脆弱性を利用されないようにするには、下記のような対策が有効でございます。
・脆弱性が解消されたプラグイン等のアップデート
・Content Security PolicyというJAVASCRIPTの実行ポリシーを設定する
参考 コンテンツセキュリティーポリシーCSPとは?ワードプレスで設定する方法
ワードプレスのマルウェア検査や脆弱性検査は
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
をよろしければご利用ください。
