Wordpressの弱点
これを説明するために本日はこちらの記事を配信いたします。
Wordpressには圧倒的な弱点が!!!
確かこんな記事ありましたよね。。。
WordPressに重大な脆弱性が発見される
とある会社のホスティングサービスが不正アクセスを受け、約5000件にのぼる利用者のウェブサイトに不正なファイルが設置されたことがわり、すでに問題のファイルは削除されており、情報漏洩なども発生していないという。
不正アクセスを受けたのは、同社が提供している「アルファメール」および「アルファメールダイレクト」のウェブホスティングサービス。
一部ホスティングサービスの利用者が導入するコンテンツマネジメントシステム(CMS)の「WordPress」を踏み台として、ウェブサーバが稼働するOSの脆弱性を突いた不正アクセスを受けたという。
ホスティングサービスの基盤となるOSが不正アクセスを受けたことで、同システムの共有ウェブサーバ上で稼働するウェブサイトに被害が波及。あわせて約5000件のウェブサイトに不正なファイルが設置されたそうです。
同社では、不正アクセスの検知後、不正ファイルの削除や不正利用されたアカウントの停止などを対策を実施したようです。
同社がログ分析など調査を進めた結果、不正ファイルの設置以外に不審な活動は確認されておらず、その他コンテンツの改ざんや、情報流出について否定。
マルウェアも検出されておらず、設置されたファイルは静的ファイルで、各ウェブサイトを通じて問題のファイルを閲覧した場合も、マルウェアへ感染する危険はなかったとしていました。
本来、同サービスの利用者にウェブサーバやOSの管理権限は与えられておらず、他利用者のサイトを操作することもできなっているのに、今回の攻撃ではウェブアプリケーションを通じてOSの脆弱性が突かれたことで、被害が拡大した。
OSの脆弱性に依存するため、一部のウェブサーバでは、攻撃に失敗した形跡なども残っていたという。
攻撃の踏み台に利用された「WordPress」は、利用者がホスティングサービス上で独自に導入、管理しているウェブアプリケーションであるため、同社では「ID」や「パスワード」を保持しておらず、同社経由の情報流出については否定している。
同時期にブルートフォース攻撃が行われた形跡が確認されたが、「WordPress」のアカウントが奪われた直接的な原因であるかはわかっていない。
同社では今回の問題を受け、ホスティングサービスが稼働するシステムの脆弱性対策や監視体制の強化など、再発防止策を実施した。
今回の不正アクセスに関しては、攻撃を行ったと見られる犯人がSNS上で犯行声明を発表。侵害したとされる約5000件にのぼるウェブサイトのリストをインターネット上に公開していた。
「WordPress」。。。怖いですね。セキュリティーは大切です。今一度、皆様よく考えてみてください。