目次
WordPressの脆弱性とは
WordPressの脆弱性とは、WordPressのソフトウェア本体、テーマ、プラグインといった構成要素の中に存在する、セキュリティ上の弱点や欠陥のことです。これらの脆弱性を悪用されると、本来許可されていない第三者がウェブサイトに不正なアクセスをしたり、データを改ざんしたり、意図しない動作をさせたりする可能性があります。
脆弱性の発生箇所
WordPressの脆弱性の発生箇所には、大きく分けて下記の2つがあります。
- ソフトウェア本体
- テーマやプラグイン
ソフトウェア本体
ソフトウェア本体の脆弱性とは、WordPressを構成する主要なプログラムコード自体に存在するセキュリティ上の欠陥を指します。これは、WordPressの開発チームによって定期的に見直され、セキュリティアップデートとして修正が提供されます。
古いバージョンのWordPressを使い続けたり、デフォルト設定に不備があるまま放置したりすることによって、脆弱性を狙われ攻撃される危険性が高まります。これらの脆弱性を防ぐには、WordPress本体を常に最新の状態にアップデートすることが不可欠です。
テーマやプラグイン
WordPressはテーマ(サイト全体のデザインテンプレート)やプラグイン(拡張機能)を使用することで、初心者でも簡単にサイトを運用することができます。
しかし、テーマやプラグインは公式ではない第三者が提供しているものも多く、数も膨大なため、品質やセキュリティレベルにばらつきが生まれ、脆弱性が発生しやすい構造になっています。
特にプラグインの脆弱性はWordPressの脆弱性の中でも報告件数が多く、注意が必要です。
- 使用実績があり安全を確認したものを使用する
- 最新バージョンを使用する
- 使っていないテーマやプラグインは放置せずに削除する
上記の点に気をつけて、脆弱性があるテーマやプラグインを使用しない、もしくは脆弱性を放置しないようにしましょう。
WordPressの脆弱性が狙われやすい理由
シェア率の高さ
他のCMSと比較してWordPressの脆弱性が特に狙われやすい理由は、主にその圧倒的な利用シェアの高さにあります。
WordPressは、全世界のウェブサイトの約40%以上、CMSを利用しているサイトに限れば60%以上のシェアを占めています。これは、もし攻撃者が一つのWordPressの脆弱性を見つけ出せば、それを悪用して非常に多くのサイトを効率的に攻撃できることを意味します。他のシェアの低いCMSを狙うよりも、労力に対する「リターン」が圧倒的に大きいのです。
オープンソース
WordPressが狙われやすい理由として、WordPressがオープンソースであることも理由の一つです。ソースコードが公開されているため、悪意のある攻撃者もそのコードを解析し、脆弱性を発見しやすい環境にあると言えます。
加えて、膨大な数のテーマやプラグインが存在することも、攻撃者が狙う「入り口」を多数生み出す要因となっています。
脆弱性を狙った攻撃手法の一例
WordPressの脆弱性を狙った攻撃手法として、下記の例が挙げられます。
管理画面への不正アクセス
管理画面に攻撃され、不正アクセスされてしまった場合、サイトコンテンツの改ざん・削除や、機密情報・個人情報の漏洩、マルウェア感染・不正プログラムの拡散などの深刻な問題が発生する恐れがあります。
ブルートフォースアタック
ブルートフォースアタック(総当たり攻撃)とは、サイトの特定のページ(主にログインページ)に対し、自動化されたプログラムでユーザー名とパスワードのあらゆる組み合わせを高速で繰り返し試行し、不正ログインを試みる攻撃手法です。
成功すると、サイトの乗っ取り、コンテンツの改ざん、マルウェアの埋め込みなどの深刻な被害につながります。
また、失敗を繰り返すだけでもサーバーに過度な負荷をかけ、サイト表示の遅延やダウンを引き起こす可能性があります。対策としては、強力なパスワードの設定、二段階認証、ログイン試行回数制限の導入が挙げられます。
Webサイトの改ざん
攻撃者によってウェブサイトの内容を書き換えたり、サイト全体を削除したりなどのWebサイトの改ざん行為が行われる場合があります。これには、悪意のあるメッセージの表示、競合サイトへのリダイレクト、または単にサイトの機能を停止させるといった行為が含まれます。
コンテンツインジェクション
コンテンツインジェクションとは、攻撃者がウェブサイトの脆弱性を悪用し、サイト運営者の意図しないコンテンツや悪意のあるコードをサイトの投稿やページに不正に挿入する攻撃手法です。
これは、主にテーマ・プラグインにおける入力値の検証不備などが原因で発生します。例えば、認証されていない状態の攻撃者でも、REST APIの特定のルートを悪用して既存の記事を書き換えたり、新たな記事を追加したりすることが可能になるケースがあります。
この攻撃により、サイトが改ざんされてフィッシングサイトへ誘導されたり、マルウェアが埋め込まれたり、公序良俗に反する内容が表示されたりするなど、サイトの信頼性失墜や訪問者への直接的な被害につながる深刻なリスクがあります。
SQLインジェクション
SQLインジェクションとは、ウェブサイトの入力フォームなどに、データベースを操作するための言語であるSQL(Structured Query Language)の不正な命令文を挿入(インジェクション)することで、データベースを攻撃する手法です。
これは、WordPressのテーマやプラグインがユーザーからの入力値を適切に処理・検証せずに、そのままデータベースへのクエリ(問い合わせ)に利用してしまう脆弱性を悪用します。
攻撃が成功すると、データベース内の個人情報や機密情報の窃取、データの改ざん・削除、あるいは不正ログインによるサイトの乗っ取りといった、非常に深刻な被害を引き起こす可能性があります。
重要情報の漏洩
データベースへの不正アクセスを許す脆弱性が悪用されると、サイトに保存されているユーザー情報(ユーザー名、メールアドレス、パスワード、クレジットカード情報など)や、企業の機密情報が外部に流出する可能性があります。
クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)とは、攻撃者がウェブサイトの脆弱性を利用して、悪意のあるスクリプトをページに埋め込み、それを閲覧したユーザーのブラウザ上で実行させる攻撃です。コメント欄や検索フォームなど、ユーザーが入力した内容が適切に検証・エスケープ(無害化)されずにそのまま表示される場合に発生します。
攻撃が成功すると、ユーザーのクッキー盗難によるなりすましや、重要情報の漏洩、マルウェア感染への誘導といった被害につながります。
必要性がなければユーザーが自由に入力できるエリアを作成しないことや、入力欄を作成する場合でも特定の文字のみを許可する仕組みを導入することなど、悪意のあるスクリプトを実行されないように対策を行うことが必要です。
ゼロデイ攻撃
ゼロデイ攻撃とは、開発者がまだ認識していない、あるいは修正パッチが提供されていない脆弱性を悪用するサイバー攻撃です。攻撃者はこの未知の脆弱性を利用して、ウェブサイトの乗っ取り、データ窃盗、マルウェア感染などを試みます。
パッチがリリースされるまでサイトが無防備になるため、非常に危険です。
被害の実例
WordPressの脆弱性を利用した攻撃によって、以下の被害が報告されています。
WordPress本体「REST API」の脆弱性を利用した攻撃被害
2017年、WordPressのソフトウェアに追加された新機能であるREST API(WordPress 4.7および4.7.1)において、認証なしで投稿コンテンツを改ざんできる深刻な脆弱性が発見されました。
この事例では、攻撃者が特定のURL形式でリクエストを送信することで、認証されていない状態でも既存の投稿やページのタイトル、内容、ステータスなどを自由に書き換えることが可能になっていました。これにより、以下のような被害が報告されています。
- Webサイトの改ざん: ハッカーがサイトに悪意のあるコンテンツを挿入したり、ウェブサイト全体を乗っ取って不適切なメッセージを表示させたりする攻撃が多発しました
この事象は、WordPressのコア機能に存在する脆弱性が、いかに広範囲かつ深刻な被害をもたらすかを示しました。迅速なバージョンアップとパッチ適用がいかに重要であるかを再認識させる事例となりました。
プラグイン「File Manager」の攻撃被害
WordPressの人気プラグイン「File Manager」において、2020年9月頃に深刻なゼロデイ攻撃が発生しました。影響があったWordPressサイトは60万にも及ぶと言われています。
この事例では、認証なしでアクセス可能なファイルがサーバー上に存在するという脆弱性が悪用されました。
攻撃者はこの脆弱性を悪用し、悪意のあるコードを含むファイルをサイトにアップロードし、リモートで任意のコードを実行しました。これにより、以下のような被害が報告されています。
- Webシェル(バックドア)の設置: 攻撃者はウェブサイト上にWebシェルと呼ばれる悪意のあるファイルをアップロードし、管理画面にアクセスすることなく、サーバー上のファイルを操作したり、コマンドを実行したりできる状態にしました。
- Webサイトの改ざん: 不正なコンテンツの挿入、リダイレクト設定の変更などが行われ、サイトの信頼性が損なわれました。
- マルウェア感染・配布: サーバーにマルウェアをインストールし、サイト訪問者に感染させたり、サーバーのリソースを悪用して仮想通貨のマイニングを行ったりするなどの行為も確認されました。
- DDoS攻撃の踏み台化: 乗っ取られたサイトが、他のウェブサイトへのDDoS攻撃の踏み台として利用されるケースもありました。
この脆弱性は、当時70万以上のWordPressサイトにインストールされていたFile Managerプラグインのバージョン6.0から6.8に影響を与えました。プラグインの開発者は数時間以内に修正パッチを適用したバージョン6.9をリリースしましたが、それ以前のバージョンを使用していた多くのサイトが攻撃の標的となりました。
テーマ「OneTone」の脆弱性を利用した攻撃被害
WordPressの人気テーマ「OneTone」において、2020年頃、認証なしで設定変更が可能になる脆弱性やXSS(クロスサイトスクリプティング)の脆弱性が発見され、これらが悪用されるサイバー攻撃が多数発生しました。
攻撃者はこの脆弱性を利用し、サイトに悪意のあるスクリプトを埋め込んだり、データベースを不正に操作したりしました。結果として、ウェブサイトの改ざん(不正なリダイレクト)、バックドアの作成(不正な管理者アカウント)、マルウェア感染といった深刻な被害が確認されました。
この事例は、WordPress本体やプラグインだけでなく、導入されているテーマにもセキュリティ上のリスクが存在し、甚大な被害につながることを明確に示しました。開発元による継続的なサポートがない場合のリスクの高さも浮き彫りになり、利用テーマの選定と適切な管理の重要性を再認識させる事件となりました。
脆弱性の調査方法
ここでは、運用しているWordPressサイトに脆弱性があるのかどうか、調査する方法を3種類ご紹介します。
WordPressサイトヘルス機能
WordPressのサイトヘルス機能は、ウェブサイトのセキュリティとパフォーマンスを診断し、改善策を提案する標準搭載ツールです。管理画面の「ツール」からアクセスできます。
この機能は「ステータス」と「情報」の二つのタブで構成されています。「ステータス」タブでは、PHPやデータベースのバージョン、HTTPS化、WordPress本体やプラグイン・テーマの更新状況などをチェックし、問題点とその推奨される対処法を示します。「情報」タブでは、サイトの技術的な詳細情報が網羅的に表示され、トラブルシューティングに役立ちます。
サイトヘルスは、サイト管理者が自身のサイトの健全性を維持し、潜在的な問題を早期に発見・解決するための重要な支援ツールです。
脆弱性診断ツール
WordPressにおける脆弱性診断ツールは、WordPress本体、テーマ、プラグインに存在する既知の脆弱性や設定上の問題点を自動的に検出するソフトウェアやサービスです。
これにより、改ざんや情報漏洩などのサイバー攻撃を受けるリスクを低減できます。代表的なものにはWPScan、Wordfence Security、Sucuri SiteCheckなどがあり、定期的なスキャンが推奨されます。
WordPressの脆弱性に関する参考メディア
WordPressの脆弱性の発生情報やその対策について、まとめられた参考メディアをご紹介します。
WordPress公式セキュリティニュース
WordPress公式のサイトにはニュースのページがあり、その中にセキュリティのカテゴリがあります。このページでは、バージョンごとの変更点や、修正された脆弱性の内容を知ることができます。
JVN iPedia
JVN iPediaとは、国内外問わず日々公開される脆弱性対策情報を収集・蓄積することを目的とした、脆弱性対策情報データベースです。製品名やベンダー名などで詳細な検索ができ、利用製品の脆弱性情報を効率的に確認できます。
JPCERT
JPCERTは、日本におけるコンピュータセキュリティインシデントに対応する専門組織です。国内外からのインシデント報告を受け付け、情報共有や対策支援、脆弱性情報の調整などを行っています。
実施すべき基本的なセキュリティ対策
WordPressの脆弱性を狙った攻撃からサイトを守るためには、まず以下の6つのセキュリティ対策を万全に行うことが大切です。一つずつご紹介します。
- WordPress本体、テーマ・プラグインの最新化
- 強力な認証情報の設定
- IPアドレスの制限
- 定期的な脆弱性診断ツールの利用
- こまめなバックアップデータの収集
- セキュリティプラグインの導入
WordPress本体、テーマ・プラグインの最新化
WordPress本体、そして使用しているテーマ・プラグインは常に最新バージョンにアップデートし、セキュリティパッチを適用するようにしてください。
また、現在使用していないテーマやプラグインは、例え無効化していても脆弱性の原因となる可能性があるため、完全に削除しておくべきです。
さらに、WordPressのユーザーアカウント管理において、各ユーザーに必要最小限の権限のみを付与することも、内部からの不正操作や情報漏洩のリスクを抑える上で有効です。
強力な認証情報の設定
管理者アカウントには推測されにくい強力なパスワードを設定し、定期的に変更することが重要です。使い回しは避け、可能であればパスワード管理ツールなどを利用して、長く複雑なパスワードを設定することが推奨されます。
また、可能な場合は二段階認証(2FA)やWeb Application Firewall (WAF) を導入することも、セキュリティ強化に効果的です。
IPアドレスの制限
特定のIPアドレスからのアクセスのみを許可したり、特定のIPアドレスからのアクセスを拒否したりすることで、攻撃者による不正なアクセスを減らすことができます。
定期的な脆弱性診断ツールの利用
上記でご紹介したWordPressサイトヘルス機能や、様々な企業が提供している脆弱性診断ツールを定期的に利用し、推奨事項に従って問題点を改善していくことで、セキュリティをより強固にすることができます。
こまめなバックアップデータの収集
こまめにサイトデータのバックアップを取得することは、セキュリティ対策として極めて重要です。もし攻撃によるデータの改ざんなどの被害を受けてしまった場合は、ウェブサイトを迅速に元の状態に復旧させるためにバックアップデータが必要となるからです。
バックアップデータがあれば短時間でサイトを元の健全な状態に戻すことができ、ユーザーへの影響を最小限に抑えられます。
バックアップの方法としては、レンタルサーバーの自動バックアップ機能、専用のWordPressプラグイン、または手動でのファイルとデータベースのエクスポートなどがあります。
セキュリティプラグインの導入
WordPressのセキュリティプラグインは、サイトの脆弱性を狙った攻撃から保護するためのツールです。主な機能としては、ファイアウォール(WAF)による不正アクセスのブロック、マルウェアスキャンによる悪意あるコードの検出と除去、ログインセキュリティ強化(二段階認証、ログインURL変更、総当たり攻撃対策)、データベースの保護、ファイル監視などがあります。
これらのプラグインを導入することで、専門知識がなくても比較的容易にセキュリティレベルを向上させ、管理画面への不正アクセスやサイト改ざんといったリスクを軽減できます。ただし、導入後も定期的な更新や設定の見直しが重要です。
まとめ
WordPressはその利便性と拡張性から広く利用されていますが、その普及率ゆえにサイバー攻撃の主要な標的となりやすい特性を持ちます。WordPressの脆弱性は、WordPress本体、テーマ、またはプラグインに存在するセキュリティ上の弱点であり、これを放置するとウェブサイトの改ざんや情報漏洩といった深刻なリスクを招きます。
これらのリスクに対処するためには、以下のセキュリティ対策が不可欠です。
基本的なセキュリティ対策
- WordPress本体、テーマ・プラグインの最新化
- 強力な認証情報の設定
- IPアドレスの制限
- 定期的な脆弱性診断ツールの利用
- こまめなバックアップデータの収集
- セキュリティプラグインの導入
これらの対策を講じることで、WordPressサイトの脆弱性をついた攻撃の被害に遭う可能性が低減します。他人事と思わず、現状を正しく理解して適切なセキュリティ対策を継続的に行う必要があります。
- 記事のURLをコピーしました
-
