6 WordPress Plugin Breached by Hackers
人気の点で、WordPressに並ぶコンテンツ管理システム(CMS)はないだろう。 WordPress は、CMS 市場の 63.5 パーセントという驚異的なシェアを誇り、そのニッチ分野では議論の余地のないチャンピオンなのです。 さらに、インターネット上のすべてのWebサイトの37パーセントがWordPressを実行しています。
小さな個人のブログやニュースから大手ブランドが運営するサイトまで、オンラインのほぼすべてのコンテキストに適合する柔軟なフレームワークにより、このCMSが何年もWebエコシステムの領域で波紋を起こしているのは不思議なことではないでしょう。 ご想像のとおり、彼らは平気でこの列車に飛び乗ります。 しかし、ウェブマスターとは異なり、彼らの動機ははるかに穏やかではありません。
明るい兆しは、WordPress コアは、定期的な脆弱性パッチにより、さまざまな角度から適切に保護されていることです。 WordPress のセキュリティ チームは、信頼できる研究者やホスティング会社と協力し、新たな脅威に即座に対応できるようにしています。 サイト所有者の更新衛生に頼らずに防御を強化するために、WordPress は 2013 年にリリースされたバージョン 3.7 以降、自動バックグラウンド更新をプッシュしています。
悪いニュースは、サードパーティのプラグインが悪意のある行為者の格好の餌食になり得るということです。 当然のことながら、多くのアクティブなインストールが行われているプラグインは、より大きな誘惑となります。
人気のWordPressプラグインで最近見つかった抜け穴は、リモート実行や特権昇格のバグから、クロスサイトリクエストフォージェリやクロスサイトスクリプティングの不具合まで、多岐にわたっている。
File Manager
9月上旬、フィンランドに拠点を置くウェブホスティングプロバイダのSeravoの研究者は、少なくとも60万サイトにインストールされているWordPressプラグイン、File Managerにセキュリティの抜け穴があることを発見した。 ゼロデイ リモート コード実行脆弱性として分類されるこの重大なバグにより、認証されていない敵対者は、File Manager のバージョン 6.0 から 6.8 を実行している WordPress サイトにおいて、管理領域にアクセスし、悪質なコードを実行し、不正なスクリプトをアップロードすることが可能になりました。 しかし、File Manager のアクティブバージョンの統計によると、このビルドは現在、プラグインを実行している WordPress サイトの 52.3 パーセントでしか使用されていないとのことです。
ホワイトハットがこの欠陥を発見したとき、安全が確保されていない Web サイトの “wp-content/plugins/wp-file-manager/lib/files/” ディレクトリに有害な PHP ファイルをアップロードしようとする実際の攻撃ですでに悪用されていたことを意味します。 この記事の執筆時点で、260 万以上の WordPress インスタンスが、古いファイル マネージャーのバージョンについて調査されています。
さらに、異なるサイバー犯罪者集団が、低い位置にある果実であり続ける Web サイトをめぐって戦争を繰り広げているように見えます。 この競合の要素の 1 つは、「connector.minimal.php」という名前のプラグイン ファイルにアクセスするためのパスワードを指定することに起因しており、これは、パッチが適用されていない File Manager の反復においてリモート コード実行の主要な発射台となります。
言い換えれば、脅威の主体が脆弱な WordPress インストールにおいて最初の足場を獲得すると、同じサイトへの裏口アクセスを持つ他の犯罪者が、悪用の可能なコンポーネントを使用できないようにします。 そういえば、ファイルマネージャープラグインのバグを経由してウェブサイトをハッキングしようとする試みが、なんと37万もの異なるIPアドレスから観測されています。
Page Builder
SiteOriginによるWordPressプラグインPage Builderは、100万以上インストールされているそうです。 5月上旬、セキュリティサービスを提供するWordfence社は、不愉快な発見をしました。 この大人気の WordPress コンポーネントは、一連のクロスサイトリクエストフォージェリ(CSRF)脆弱性の影響を受けやすく、サイト内で昇格した特権を得るために武器にすることができます。
このプラグインのバグ機能である「ライブエディタ」と「ビルダーコンテンツ」は、不正者が新しい管理者アカウントを登録し、脆弱なサイトへ自由にアクセスするバックドアを開くことができます。 ハッカーに十分な能力があれば、この脆弱性を利用してサイトの乗っ取りを実行できます。
SiteOrigin は、これらの欠陥について警告を受けてから 1 日以内に修正プログラムをロールアウトしています。 しかし、ウェブマスターがパッチを適用するまで、この問題は全体的に影響を及ぼし続けるでしょう。 7902>
昨年 1 月、セキュリティ専門家は、GDPR Cookie Consent バージョン 1.8.0 が、欧州連合の一般データ保護規則 (GDPR) に準拠していることを発見しました。2 およびそれ以前のバージョンには、悪質な業者がクロスサイトスクリプティング (XSS) 攻撃や権限昇格攻撃を行うことを可能にする深刻な脆弱性が存在します。 もう 1 つの有害なシナリオは、有害な JavaScript コードを注入して、リダイレクトを引き起こしたり、訪問者に不要な広告を表示させたりすることです。
Duplicator
100 万以上のアクティブなインストールと合計 2000 万ダウンロードを誇る Duplicator は、WordPress プラグインのトップ 100 にリストされています。 その主な機能は、ある場所から別の場所にWordPressサイトを移行またはクローンすることです。 さらに、サイト所有者がコンテンツを簡単かつ安全にバックアップできるようにします。
2月に、Wordfence セキュリティ アナリストは、犯人が Duplicator バージョン 1.3.26 以前の実行サイトから任意のファイルをダウンロードできる欠陥を突き止めました。 たとえば、攻撃者はこのバグを利用して、特にサイト管理者の認証情報を含む “wp-config.php” ファイルの内容をダウンロードすることができました。 7902>
Site Kit by Google
Site Kit by Google の深刻な欠陥は、70万以上のサイトで活発に使用されているプラグインで、攻撃者が関連する Google Search Console を乗っ取り、サイトのオンラインプレゼンスを破壊することを可能にします。 この弱点を通して不正なオーナー アクセスを取得することにより、悪意のあるアクターは、サイトマップを変更したり、Google 検索結果からページを削除したり、有害なコードを注入したり、ブラックハット SEO 詐欺を指揮することができます。 さらに言えば、Site Kit が Google Search Console と通信するために利用した URL が公開されています。 7902>
この脆弱性は、4 月 21 日に Wordfence によって発見されました。 プラグイン作者は 5 月 7 日に更新版 (Site Kit 1.8.0) をリリースしましたが、現在 Site Kit を実行している WordPress サイトの 12.9 % (約 90,000) にのみインストールされています。 そのため、何十万ものサイト所有者が、安全性を保つためにまだ適用していません。
InfiniteWP Client
このプラグインが 30 万以上のアクティブ インストールを持つ理由は、サイト所有者が自分のサーバーから複数のサイトを管理できるようにするためです。 このような特典を享受することの裏返しとして、敵対者は、WebARX が 1 月に発見した重大な欠陥を利用して、認証を回避することができるかもしれません。 これらのエンティティには適切な認証制御がないため、攻撃者は、特別に細工された Base64 エンコードされたペイロードを利用して、有効なパスワードを入力することなく WordPress 管理者ダッシュボードにサインインすることが可能です。 管理者のユーザー名で十分アクセスできるのです。
What to Do About It
プラグインは WordPress サイトの機能を拡張しますが、さまざまな恩恵があることもあります。 最も人気のある WordPress プラグインでさえ、サイトの乗っ取りやデータの盗難につながるさまざまな不正行為を可能にする不完全な部分があるかもしれません。 しかし、サイト所有者が宿題をこなし、安全なプラクティスに従わない限り、これらの更新は無駄です。
以下のヒントは、あなたの WordPress サイトが低いぶら下がりフルーツになるのを防ぐのに役立ちます:
- 更新を適用する。 これは、WordPress のハッキングに対する基本的な対策です。 あなたのサイトでは、WordPress Core の最新バージョンが動作していることを確認してください。 同様に、プラグインやテーマのアップデートが配布されたらインストールすることが重要です。
- 強いパスワードを使用する。 できるだけランダムに見える、少なくとも10文字で構成されるパスワードを指定します。 認証の詳細をブルートフォースしようとする攻撃者のハードルを上げるために、特殊文字を含める。 許可されたユーザーに必要以上の権限を与えないようにしましょう。 管理者や編集者の役割は、一部のユーザーにとって冗長であるかもしれません。 subscriber や contributor の権限で十分な場合、代わりにそれらを使用します。
- PHP ファイルへの直接アクセスを制限する。 ハッカーは、認証と入力検証の仕組みを回避するために、特別に細工した HTTP または GET/POST リクエストをプラグインとテーマの PHP コンポーネントに送るかもしれません。 これらの攻撃を回避するには、そのような試みが行われたときにエラーページをトリガーするルールを指定します。
- アクティブでないユーザーを削除します。 サイトに登録されているユーザーのリストを調べ、休止中のアカウントを削除する。
- ユーザー列挙を無効にする。 攻撃者があなたのサイトのユーザーリストを閲覧し、設定の不手際を悪用しようとするのを防ぐために、.htaccess ファイルに向かい、そこでユーザー列挙機能をオフにします。
- セキュリティプラグインを追加する。 このプラグインは、疑わしいトラフィックを監視し、既知およびゼロデイ脆弱性に便乗した標的型攻撃をブロックする Web アプリケーション ファイアウォール (WAF) が付属していることを確認します。