5
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

注意!あなたのWordPressも狙われている!?侵入手口と挙動について

Last updated at Posted at 2020-04-30

皆さんが当たり前のように使っているWordPressには,実は脅威が存在します。
乗っ取られると素人ではなかなか解析できないような複雑な改ざんが行われて,復元しないとページが見られなくなります。
今回はそのハッキングの一例を取り上げます。
「こっちはセキュリティ対策してるから大丈夫」ってわけにはいかないみたいですよ...

まえがき

該当する事例が前にあったようです。
https://qiita.com/mikkame/items/eec33df6863ed81740c2

侵入経路

不明。
どこから入ってきたのかは分かりませんが,恐らくテーマやプラグインを脆弱性を突きXSSを利用してPHPコードを実行させて環境を整えたと見られます。

挙動

この例としては

  • /wp-load.php
  • /wp-blog-header.php
  • /index.php
  • /wp-content/themes/twentyfifteen/inc/index.php
  • /wp-content/themes/calliope/inc/index.php

が不正に書き換えられました。

何をされた?

/index.phpには,偽のサイトマップをGoogleなどに返す機能,ハッカー側がハッキングを完了したことを確認するために自らをGoogle検索してハッキングされているかを確かめる機能,botには普通のサイトのように見せかける機能などが追加されます。

一番危ないのが Twenty Fifteenのindex.phpです。
こちらをご覧ください。
image.png
なんと,ハッカーが使う隠しファイルマネージャーが用意されていたのです。
このファイルマネージャーはやけに高機能で,パーミッションの変更,ファイルのアップロード,さらにはローカルコンピューターへのアクセスも可能になっています。
これは非常に危ない脆弱性であり,WordPressを使っている皆さんは注意が必要です。

侵入されないようにやっておくこと

まず大事なのは WordPressのアップデート です。
プラグインは定期的に更新する,評判の良くないものは使わない,テーマも定期的に更新する,そしてなにより,WordPressのシステムを最新に保つことが必要と言えます。

おわりに

何かこの事に関して知っていることがあれば,ご教授ください。

5
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
5
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?