Sucuriは8月24日(米国時間)、「Why WordPress Gets Hacked & How to Prevent It|Sucuri」において、WordPressがハッキングされる主な理由とその手法を伝えた。「なぜWordPressはハッキングされるのか」という疑問の潜在的な間違いを指摘し、Webサイトを攻撃から保護するために役立つ情報を伝えている。

  • Why WordPress Gets Hacked & How to Prevent It|Sucuri

    Why WordPress Gets Hacked & How to Prevent It|Sucuri

「なぜWordPressはハッキングされるのか」という疑問に対し、Sucuriは「WordPressは標的となる唯一のCMS (Content Management System)プラットフォームではない」と回答している。ズレた回答をしているようにみえるが、Sucuriによると、攻撃はすべてのWebサイトに対して行われており、WordPressがWebサイトの43%以上で利用されていることから、相対的にWordPressが積極的に攻撃されているように見えているだけと指摘している。

つまり、WordPressだから攻撃されているのではなく、どのCMSプラットフォームも攻撃されうる可能性があり、環境にかかわらずセキュリティ対策が必要であるとの認識を示している。

続いて、WordPressが受ける主なハッキング内容と対策を列挙して説明している。以下、そのポイントを示す。

  1. パッチの適用されていないWordPressコア、プラグイン、テーマはサイトを危険にさらす。Sucuriでは適切に管理、更新されているWordPressは安全だと評価している。プラグインとテーマはWordPressコアの更新とは別に個別に更新が必要で、新しいパッチがリリースされた場合は迅速に適用する必要がある
  2. 脆弱なパスワードとユーザー名はブルートフォース攻撃により不正アクセスを許すことにつながる。一意で強力なパスワードを使用し、管理者ユーザ名をデフォルトから変更する
  3. WordPress管理パネル(/wp-admin)とログインページ(/wp-login.php)は最も頻繁に攻撃される。デフォルトではブルートフォース攻撃が可能となっており、二要素認証(2FA: Two-Factor Authentication)も行われない。これらページへのアクセスを制限し、必要な保護を追加する必要がある
  4. 膨大な数のWebサイトを詰め込んだWebサーバにおいて、サイト間の分離が不適切な場合、1つのサイトが侵害されたことによりほかのサイトまで影響を受けることがある。これを防ぐために、サイト毎に管理パネルを用意し、PHP-FPMを使用して安全なVPS環境を構成する
  5. 外部からwp-config.phpファイルへのアクセス許可はサイトを危険にさらす。wp-config.phpファイルをWordPressのルートディレクトリの1つ上のディレクトリに移動することで保護できる。WordPressはwp-config.phpファイルがルートディレクトリに見つからない場合、自動で1つ上のディレクトリを検索する

SucuriはWordPressをハッキングから防ぐ最良の方法として、上記のような保護を実施し、信頼できるWebアプリケーションファイアウォール(WAF: Web Application Firewall)を導入することを推奨している。