PHP
WordPress
脆弱性

【WordPress】猿にでもできる脆弱性チェック

WPScanとかよく分からないという人でも、流石にこれならできる筈。1



迷惑です

WordPress は、非常に攻撃対象になりやすい CMS ですので、セキュリティ意識の低い人は、今すぐ使うのを止めてサイトを閉鎖して欲しいなと思います。

Qiita をご覧になるような方は大丈夫だと思いますが、もし身の回りに「WordPress のセキュリティ?何それ美味いの?」という人がいたら、自分が被害に遭うだけではなく、他人にまで迷惑をかける事も多々あるという事を、よ~く教えてあげてください。



経緯


  1. 息抜きに Web サーバのエラーログを何となく眺める


  2. 相変わらず WordPress への攻撃を試みるリクエストがたくさんあるなぁ…


  3. あれ?この攻撃元の IP は…たぶん○○の VPS だ… うちもお世話になってるところなのに、けしからんなぁ… 誰がやってるんだ…


  4. あぁこれ、WordPress が改ざんされて踏み台にされてるよ… WordPress のバージョン丸見え… って 4.4.1!(驚愕)


  5. 同じサーバーで運営してる別のドメインも改ざんされてるよ… こっちは 4.5.3 …(呆れ)


  6. 知識があまり無い人・セキュリティ意識の低い人でも、簡単に使えるサービスはないかと探してみる(今ココ)




同様の攻撃が急増中

私が管理しているサーバーだけかもしれませんが、ここ最近、上記と同様の攻撃が急増しています。以下はホンの一例ですが…

改ざん被害を受けた WordPress を経由して…


  • wp-admin/admin-ajax.php?Action=EWD_UFAQ_UpdateOptions

  • wp-admin/admin-ajax.php?action=update_zb_fbc_code

…のような、脆弱性のあるプラグインかテーマファイルを狙っているっぽいリクエストが送られてきます。

以下のような資料にもある通り、admin-ajax.php はその性質上、攻撃対象になりやすいファイルですので、ご注意ください。





  1. データベースの更新頻度がかなり低いようですし、オススメのサービスとは言い難いですが、やらないよりは遥かにマシかと…。残念ながら、情報商材などに騙されて、訳も分からず WordPress を運用している人に、小難しい話をしても無駄だと思います。