Wordpressに代表的な項目にフォーカスしたセキュリティ診断
セキュリティ診断(脆弱性診断)とはセキュリティ版の第三者検証とも言えるもので、お客様が提供されているWebサービスやモバイルアプリケーションに対し、攻撃者の視点で疑似攻撃を行うことで、セキュリティ上の問題点(脆弱性)を洗い出すサービスです。
その中で、数多くの企業で採用されているのが、Wordpressです。
Wordpressは知識がない人でも簡単にウェブサイトが作れ、プラグインの数が多くカスタマイズもしやすいため、ユーザ数が多いCRMツールです。一方で、公開されているプラグインやテーマには脆弱性が存在していることが多く、悪意のある攻撃に晒されやすい傾向があります。手軽に利用できるWordpressですが、セキュリティにも意識を置く必要があるのです。
Wordpressで作られたウェブサイトに、脆弱性が存在するプラグインやテーマ、バージョンが使われていることを攻撃者が突き止めてしまった場合、攻撃者は脆弱性を悪用し様々な攻撃を行ってきます。攻撃者がWordpressで作られたウェブサイトに攻撃をしかける場合、コンテンツの改ざん、悪意あるプログラム(マルウェア・ウイルス)の感染といった攻撃が代表的です。それらを組み合わせることで、ウェブサイトを管理している人間が気づかない間に、情報を窃取してしまうのです。
Wordpress本体が攻撃され、乗っ取られてしまった場合、ウェブサイトの内容が改ざんされてしまうだけでなく、ウェブサイトへのアクセスができなくなってしまいます。本体だけでなく、プラグインに脆弱性がある場合、プラグインを攻撃の踏み台に、ウェブサイトの改ざんや情報漏洩が起きる可能性があります。また、簡単にユーザ情報を不正取得されてしまうこともあります。
技術は日々進歩しています。Wordpressそのものもアップデートされているのですが、そのたびに、複数の脆弱性も発見されています。Wordpressでも対応は行っていますが、Wordpressと連携するREST APIという機能に含まれた脆弱性が悪用されたケースでは、アップデート情報が公開されたものの、公開後すぐに対応できなかったウェブサイト100万件以上で、ウェブサイトの改ざんが行われてしまいました。
また、人気プラグインであるfile managerの脆弱性を悪用されたケースでは、発見されてから数日で45万回も攻撃が行われており、悪意のあるスクリプトによってウェブサイトが改ざんされるという被害が起きています。
これらの脆弱性は、ユーザがアップデートを行うまでサイトに残り続けています。脆弱性に対応できていないサイトはそのまま攻撃対象になり、その結果、毎年何千件何万件というウェブサイトの改ざんが発生してしまうのです。
被害にあうのは、サイトを作っている企業や運営している企業だけではありません。
Wordpressの脆弱性が悪用されることで、サイトのテーマファイルが改ざんされた結果、サイトを訪問するユーザを罠サイトまで誘導してしまうといったケースもあります。その場合、被害にあうのはユーザで、もしもあなたの管理するサイトのログイン画面に似た罠サイトが用意されていた場合、漏洩するのは利用者の情報なのです。近年、SMSにAmazonの偽ログイン画面が送られるといった事例がありますが、気づかぬ間に同じような手口の踏み台に利用されている可能性があるのです。
繰り返しになりますが、手軽に利用できるWordpressは、一方でセキュリティにも意識を置く必要があるのです。
株式会社ポルトでは、Wordpressの脆弱性を悪用されないよう、Wordpressに特化した脆弱性診断を行っています。
Wordpressに代表的な項目にフォーカスし、ウェブサイトがセキュリティ面でどういう状態なのか、検証することができます。
診断観点
カテゴリ | 脆弱性調査例 |
---|---|
Wordpressコアファイル | Wordpressコアファイルのバージョンと関連する既知の脆弱性の調査 |
プラグインの脆弱性 | プラグインに存在する既知の脆弱性の調査 |
テーマの脆弱性 | テーマに存在する既知の脆弱性の調査 |
ユーザー情報 | ユーザーID、強度の弱いパスワードの調査 |
不必要な情報公開 | 設定ファイルやreadmeなどのファイル内容の調査 バックアップファイルやデータベースのダンプファイルなどの調査 |
XML-RPC、WP-Cron | XML-RPCやWP-Cronステータス調査 |
管理画面の調査 | ログイン画面やユーザー登録画面の調査 |
その他 | PoC検証 |
また、実際に脆弱性をどのように悪用できるかといった専門的な調査を実施することもできます。その場合は検出した脆弱性を一つ一つホワイトハッカーが手動で診断を行うことになります。脆弱性の対策以外で、影響調査をご希望の場合は、別途お問い合わせください。