こんにちわ。プロデューサーの八木澤です。今回は「Wordpressのセキュリティ」ネタです。WordPressは、ウェブサイトを制作する上で世界で最も使用されているCMSです。しかしその人気は、WordPressのサイトがハッカーの対象になります。

Wordpressのセキュリティの脆弱性を理解する&あなたがワードプレスを保護する。


あなた自身でウェブサイトを保護する方法を理解するためには、WordPressのセキュリティの脆弱性の種類を理解する必要があります。この記事では、ワードプレスをロックダウンし、一般的な脅威か見ていきます。

Wordpressのセキュリティの脆弱性


  • 52%は、Wordpressのプラグインから侵入。
  • 37%が、コアワードプレスから侵入。
  • 11%がWordpressのテーマから侵入。

 

出典:WPScan.orgからの統計

39%クロスサイトスクリプティング(XSS)


XSSは、他のユーザーが閲覧中のウェブページにクライアント側のスクリプトを挿入します。アクセス制御と他の偽装攻撃を回避するために使用します。インターネット上すべてのセキュリティ脆弱性の84%がXSSによる攻撃です。

その他の攻撃ベクトル


  • 11% – FTPから。(アップロード侵入)
  • 7% – CSRF(クロスサイトリクエストフォージェリ。コメント欄や問い合わせフォームから侵入)
  • 5% – SQLI(データベースの改ざん)
  • 3% – LFI(ローカルファイルインクルード。ローカル上のファイルを読み込んでしまう脆弱性)
  • 2% – RFI(リモートファイルインクルージョン。スクリプト言語の脆弱性を狙った攻撃)
  • 2% – 認証バイパス
  • 1% – リダイレクト
  • 1% – XXE(XML外部エンティティ攻撃)
  • 6% – 不明

ファイルインクルージョンの脆弱性


ウェブサイトは、URLの中に置かれた引数に応答し動いています。あなたのPCに、もし脆弱性が含まれていた場合を想像してみてください。誰かがこの脆弱性を発見した場合、それが悪用される可能性があり。そして、これは出力(設定適切な権限のない)UNIXサーバーのパスワードファイルを盗み攻撃するでしょう。

これが発生する可能性がわずか害例です。または誰かが同様にこの方法を介してサーバー上に自分のファイルをアップロードすることができます。

あなたがワードプレスを保護する方法


  1. 弱いログインを削除します。強力なパスワードを強制&2要素認証(reCAPTCHA)を使用する。
  2. マルウェア防止。
  3. 脆弱なサーバーを変更する。
  4. 適切な許可を設定する。
  5. 正しいワードプレスをセットアップする。
  6. すべてのテーマ、プラグインを最新に保つ。