WordPressでWebサイトを運営する上で知っておきたい「脆弱性が生まれやすい要因」と「脆弱性の事例」を紹介します。
1. WordPress本体に脆弱性
WordPressの最新バージョンは、4.7.4(2017年4月時点)です。
これまでに、WordPressは新機能の追加など開発・改修を重ねる過程で、何度もバージョンアップを重ね、最新バージョンに至っています。WordPress本体の脆弱性は過去に度々見つかっており、深刻度の高い脆弱性は注意喚起として警告されるなど都度問題視されています。
2017年2月 WordPressに標準搭載されたREST APIに脆弱性
REST APIは「The Representational State Transfer Application Programming Interface」の略語で、手軽にWordPressとアプリケーションの連携を実現する手段です。WordPress 4.7に標準搭載された機能でしたが、不正改ざんなど深刻な被害を起こす脆弱性が発見されました。
WordPress REST APIの深刻な脆弱性について(2017年2月)
2. WordPressプラグインに脆弱性
WordPressには、公式・非公式、また有料、無料で利用できるプラグインが多数あります。SEO、セキュリティ、リンク切れなどコンテンツ管理、サイト高速化など目的に応じたプラグインを自由に利用できますが、個々のプラグインに脆弱性が見つかることもよくあります。
2017年4月 WordPress 用プラグイン WP Statistics に脆弱性
サイト訪問者の動向を確認できるアクセス解析データをわかりやすく表示する無料のプラグイン「WP Statistics」にクロスサイトスクリプティングの脆弱性が見つかりました。Webサイト管理者の同意なく、第三者によって任意のスクリプトを実行されてしまうリスクがあります。
参考:IPA WordPress 用プラグイン WP Statistics におけるクロスサイトスクリプティングの脆弱性(2017年4月)
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-000067.html
3. WordPressのテーマに脆弱性
WordPressには、デフォルトで使われている公式テーマ、第三者によって配布されている有料、無料のテーマが多数あります。ブログ向け、フォトアルバム向け、EC向けなど、サイトの目的別に選べるテンプレートの一部に脆弱性が見つかることがあります。
2017年1月 ポートフォリオ向けテーマにSQLインジェクション脆弱性
撮影した写真や映像をポートフォリオ風に展示する有料のWordPressテーマ「Photocrati」のecomm-sizes.phpにおいて、SQLインジェクションの脆弱性が見つかりました。任意の SQLコマンドを実行される可能性があります。
参考:IPA WordPress 用 Photocrati テーマの ecomm-sizes.php における SQL インジェクションの脆弱性(2017年1月)
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001659.html
4. WordPress以外に脆弱性のリスクを抱えた構成要素
WordPress本体、プラグイン、テーマに加え、メールフォームなどのアプリケーション各種、PHPといったスクリプト言語などのWebサイトを構成する要素にも気を配りましょう。年月の経過と共に、開発・サポート終了となったアプリケーション等を使い続けるとリスクもあがります。
>
参考:JPCERT WordPress の脆弱性に関する注意喚起(2017年2月6日)
https://www.jpcert.or.jp/at/2017/at170006.html
身に覚えのある事項がひとつでもあれば問題です。
WordPressをインストールして、適切なメンテナンスを行わない状態で使い続けると、セキュリティリスクは高まります。Webコンテンツの管理に忙しいWebサイト管理者の強力な味方は、SiteLock。定期的にWebサイトを診断し、WordPress、プラグイン、テーマのすべてが適切な状態にあるか監視し、問題がある場合はすばやく通知いたします。