世界で人気が高い、CMSであるWordPressは、オープンソースであることから世界中で利用者が多いため、多くの脆弱性も発見されています。
今回は、WordPressでサイトを運用してみたいとお考えの方に、WordPressで普段起きている悪用手段を紹介します。
スパムコメントの投稿
WordPressでサイトを運用するにあたり、最も多いのがスパムコメントの投稿です。
各記事のコメント欄に、記事内容とは無関係な文字列がコメントとして投稿されてしまいます。サイトやコンテンツの中身に関しては、大きな影響はありませんが、スパムコメントの投稿が大量に行われることで、サーバーへの負荷が発生し、ご自身のサイトだけではなく、同じサーバーを利用している他のユーザーが運営しているサイトの表示が遅延するといった問題に繋がります。
レンタルサーバーでWordPressを運用している場合、共有サーバーであれば、他のユーザーも使っているということを念頭に置いた上で、利用する必要があります。また、スパムコメントによりご自身が無駄な仕事を抱えてしまうことにもなりかねません。
管理画面への不正アクセス
WordPressで次に多い悪用手段としては、管理画面へ不正にアクセスして、ログイン情報を不正取得するなどして、ダッシュボードへの侵入を試みようとします。
WordPressは、管理画面には「wp-login.php」というファイルで構成されているため、サイトのURLの後に「wp-login.php」を付加することで、標準の状態であれば誰でも管理画面のログイン画面にアクセスできます。
第三者に不正にログインされた場合、ご自身のサイトが改ざんされる他、不正なコードを設置されるなど、ハッキングされるリスクが高まります。
プラグインが悪用される
WordPressはプラグインにより、機能拡張することで、様々な機能を追加できます。多くのプラグインはWordPressではなく、有志らが無償で提供していることが多いです。
そのため、プログラムの脆弱性も多く含まれていることも多く、この脆弱性を利用して第三者が不正なアクセスを行い、意図しないファイルが設置されるといったことも起きています。
Pingback機能が悪用される
WordPressは、ご自身のサイトが第三者のサイトで言及された場合、その内容を通知する「Pingback機能」が用意されています。
Pingback自体は、サイトへの不正アクセスなど直接影響を及ぼすものではありませんが、Pingbackを悪用して、見知らぬ間にどこかしらのサーバーに負荷を与えてしまうことも考えられます。
ブルートフォースアタック(辞書攻撃)
ブルートフォースアタックとは、日本語では「辞書攻撃」と呼ばれ、プログラムでランダムな文字列を作り出し管理画面への不正ログインを試みる攻撃です。
こちらも、管理画面への不正アクセスの章でも紹介したとおり、管理画面へアクセスする際のログイン画面は簡単にアクセス可能であるため、ログイン情報を入手しようとして、ブルードフォースアタックが利用されることが多いです。