皆さんが当たり前のように使っているWordPressには,実は脅威が存在します。
乗っ取られると素人ではなかなか解析できないような複雑な改ざんが行われて,復元しないとページが見られなくなります。
今回はそのハッキングの一例を取り上げます。
「こっちはセキュリティ対策してるから大丈夫」ってわけにはいかないみたいですよ...
まえがき
該当する事例が前にあったようです。
https://qiita.com/mikkame/items/eec33df6863ed81740c2
侵入経路
不明。
どこから入ってきたのかは分かりませんが,恐らくテーマやプラグインを脆弱性を突きXSSを利用してPHPコードを実行させて環境を整えたと見られます。
挙動
この例としては
- /wp-load.php
- /wp-blog-header.php
- /index.php
- /wp-content/themes/twentyfifteen/inc/index.php
- /wp-content/themes/calliope/inc/index.php
が不正に書き換えられました。
何をされた?
/index.phpには,偽のサイトマップをGoogleなどに返す機能,ハッカー側がハッキングを完了したことを確認するために自らをGoogle検索してハッキングされているかを確かめる機能,botには普通のサイトのように見せかける機能などが追加されます。
一番危ないのが Twenty Fifteenのindex.phpです。
こちらをご覧ください。
なんと,ハッカーが使う隠しファイルマネージャーが用意されていたのです。
このファイルマネージャーはやけに高機能で,パーミッションの変更,ファイルのアップロード,さらにはローカルコンピューターへのアクセスも可能になっています。
これは非常に危ない脆弱性であり,WordPressを使っている皆さんは注意が必要です。
侵入されないようにやっておくこと
まず大事なのは WordPressのアップデート です。
プラグインは定期的に更新する,評判の良くないものは使わない,テーマも定期的に更新する,そしてなにより,WordPressのシステムを最新に保つことが必要と言えます。
おわりに
何かこの事に関して知っていることがあれば,ご教授ください。