Sucuriは1月27日(米国時間)、「Why are WordPress Websites Targeted by Hackers?」において、WordPressを導入しているWebサイトがサイバー犯罪者の攻撃対象として狙われやすい理由を指摘した。WordPressは世界で最もシェアが多いCMSであり、4億4500万以上のWebサイトで利用されている。このシェアはWebサイトの40%以上に相当することから、サイバー犯罪者がWordPressを標的とすることはまず予想できることだと説明されている。

  • Why are WordPress Websites Targeted by Hackers?

    Why are WordPress Websites Targeted by Hackers?

それ以外の理由として、同社は次のような状況がサイバー犯罪者にとって都合のよいものになっていると述べている。

  • 予測可能なログイン認証情報が使われている。過去に流出したアカウントデータを利用したブルートフォース攻撃などで簡単に認証データを特定できる。「admin」といったありきたりのユーザー名は使わないほうがよく、すべてのユーザーで強力なパスワードを使用するとともに、二要素認証の有効化や追加のパスワードの要求を設定することが望まれる。

  • 安全ではないホスティング環境が使われている。「マネージド」とうたわれて管理が自動的に行われ、かつ、廉価なサービスが提供されているサービスがあるが、コスト削減の反面、セキュリティが犠牲になっていることもある。「マネージド」がどこまで提供されているのかと確認しておくことが望まれる。

  • 不適切なパーミッションが使われている。誤ったパーミッション設定にはリスクがある。WordPressのすべてのファイルは644、フォルダは755をデフォルトに設定しておく必要がある。

  • FTPが使われている。FTPはパスワードが暗号化されないので、SFTPやSSHを使うこと望まれる。

  • 古いバージョンが使われている。サイトオーナーの中にはサイトが壊れることを懸念してアップデートをためらうことがあるが、これはリスクの原因となる。バックアップサービスを利用するなどして、アップデートはちゃんと実施することが望まれる。

  • 数多くのサードパーティ製テーマやプラグインが存在するが、それらの導入が多ければ多いほど侵入のポイントが増えていく。信頼できないソースからインストールした場合はさらにリスクを伴う。開発元のパッチノートなどを記録することが望まれ、パッチが提供されていない場合は悪用される可能性がある。

WordPressは他のCMSとは桁違いのシェアを誇り、プラグインやテーマについてはエコシステムが構築されている。誤った使い方やアップデートレスなどはサイバー犯罪者によって格好の侵入ポイントとなりやすく注意が必要。サポートされたバージョンを適切に設定し、迅速にアップデートし続ける運用を行うことが望まれる。