WordPressの高速化やセキュリティ対策なども行うプライム・ストラテジーは3月17日、日本の企業や組織におけるWordPressサイトの調査結果を発表。WordPressサイト182,405の調査結果から15.3%がユーザーIDの閲覧が可能な状態にあるとして、対策を促している。
2024年3月1日から2025年2月28日にかけて、公開されているWebサイトから日本の企業や組織が所有するWordPressサイト(182,405サイト)からランダムに抽出して調査した結果、15.3%がユーザーIDがインターネットで閲覧できる状態にあった。また、41.9%でログイン画面(wp-login.php)にアクセス可能でBasic認証も設置されておらず、同様に懸念がある。
同社では、対象となるWebサイトのURLの後に「/?author=1」を入力してユーザーIDが含まれるユーザーページが表示される場合(レスポンスコードが200)やブラウザのシークレットモードで管理画面にアクセスしてBasic認証が表示されずに直接ログインフォームが表示される場合などいつくかのチェック方法を示している。
-
調査結果(同社資料より)
豊富なプラグインやテーマが魅力のCMS「WordPress」は、ビジネスシーンでも広く活用されている。プラグインの脆弱性やブルートフォース(パスワード総当たり)攻撃によるID/パスワード搾取からログインされると、改ざんや攻撃の踏み台、情報搾取などの懸念が高まるが、プラグインの脆弱性とブルートフォース攻撃への対策でハッキングの要因の約70%に対応できることにも言及している。
古いWindows 11からセキュリティ機能を削除、理由は不明
