ご存知ですか? WordPressサイトの約98%※が容易に改ざんできる脆弱性があるまま公開されています。
※2019年1月 WordPressケアスタジオ調べ n=100
何も対策していない、プラグインでなんとなく対策しただけでは、容易に改ざんされる危険性があります。
改ざんされると、サイトの乗っ取り、サイトデータの消失、顧客や個人情報の流失など甚大な被害に見舞われます。
昨今WordPressサイトのハッキング+改ざん被害は増加しており早急な現状のセキュリティ対策のご確認と対策をお薦めします。
WordPressサイト特有のよくある脆弱性
管理画面へのログインIDが漏洩
ログインID、管理画面が分かると、後はパスワードだけの総当たりで簡単に突破できます。
管理画面にアクセスできる
サイトURL + /wp-admin/や、/wp-login.php のアクセスできるようになっている。
また、Basic認証をかけていても、Basic認証はハッカーには突破が容易です。
管理画面のログイン画面でIDの整合性が確認できる。
WordPressのデフォルトは、正しいIDを入力すると、パスワードが不明ですかと尋ねる使用になっている。
脆弱性のあるWordPressのバージョンをアップデートしないまま使用
WordPressは脆弱性防ぐために、アップデートがされています。逆にアップデートしないままの場合は、アップデートによって埋められた脆弱性があることを誇示してことと同じ状態です。
また、多くのサイトはWordPressのバージョンももれなく一般公開しているので、脆弱性があるサイトかどうか一目瞭然となっています。
管理画面への総当たり攻撃が可能
パスワードの総当たりが可能な状態となります。
脆弱性のあるプラグインをバージョンアップしないまま使用
上記と同じ理由となります。個人情報を入力/保持するプラグインなどは、脆弱性があるとここから漏洩がされます。
こちらもプラグインのバージョンはもれなく一般公開しているため、脆弱性の有無は一目瞭然です。
脆弱性のあるテーマをバージョンアップしないまま使用
上記と同じ理由です。
DB設定ファイル(wp-config.php)の上書きやダウンロード可能
ファイルのパーミッションが間違っている、WordPressのバージョンが古いなどの場合、このような致命的なセキュリティホールができてしまいます。
上書きやダウンロード可能となると、DBにアクセスできるので情報漏洩やファイル改ざんなど、致命的被害となります。
よくある脆弱性はハッカーも良く知るセキュリティホールのため、被害の経路になります。
その他 一般的なサイトと同様に、サーバーやプログラム内容を評価し、XSS、SQLインジェクション、LDAPインジェクションなど脆弱性、メモリリーク、無限ループ、デッドロックなど障害の有無など、致命的になりうるセキュリティホールは事前にケアしておきたいものです。
所有しているサイトでセキュリティ不備の心当たりがあったり対策が不明な場合は、お早めにお問い合わせください。