We clean and protect your website

Sucuriは9月19日(米国時間)、「Hacking WordPress Sites on Shared Servers」において、共有サーバで動作しているWordPressをハックする方法を指摘した。この方法はすでに攻撃者によって悪用されていると説明があり注意が必要。WordPressは最もユーザーが多いCMSと言われており、サイバー攻撃の対象として被害を受けやすい。

WordPressをホスティングしている管理者やユーザーであれば、wp-config.phpファイルはアカウント情報などを含んでいるため、一般ユーザーからはアクセスできないようにするほか、このサーバへログインできるIPなどにも規制をかけることが多い。しかし、セキュリティ対策としえ、これだけでは不十分であり、wp-config.phpファイルがダウンロードされたり、アクセスを許可してしまったりするケースがある。

まず、WordPressで利用できるプラグインの中には任意のファイルをダウンロードできてしまう脆弱性を抱えたものがある。こうした脆弱性を突かれると、簡単にwp-config.phpファイルのダウンロードを許可してしまう。さらに、IPによるアクセス規制をかけていたとしても、共有サーバのように同一のIPを使用するような状況になっているサーバにはこうした制限が効果を発揮せず、アカウント情報を取得した攻撃者からの侵入を許可してしまうことになると説明がある。