PHP コード実行の危険にさらされている WordPress サイト

WordPress サイトは、その大規模なユーザー ベースと幅広い機能により、常にインターネット詐欺師の標的となってきました。脆弱なプラグインを使用している、最新バージョンにタイムリーに更新していない、パッチを定期的に適用していない、およびセキュリティ対策の不注意が、WordPress サイトに対する多数の攻撃の主な理由です。

WordPress のインストールが完了していないため、世界で最も人気のある CMS となっています。WordPress は PHP コード インジェクション攻撃に対して脆弱であり、2017 年 6 月には 720 万回以上の攻撃がありました。構成されていません。この PHP コード実行攻撃は、攻撃者に管理者アクセスを提供し、それによって Web サイトの完全な制御をすぐに取得します。

WordPress を選ぶ理由

WordPress は、BBC America、TechCrunch、Sony Music など、世界で最も有名な Web サイトのいくつかをホストしています。その結果、その人気は良い面と悪い面の両方を招きます。 Windows OS がマルウェアの主なターゲットであり、Android OS がモバイル マルウェアの主なターゲットであるように、WordPress (WP) CMS は最も人気のあるプラットフォームの 1 つであり、市場シェアの約 59% を占めています。 WordPress ベースのサイトの数が非常に多いため、スパマーやサイバー犯罪者は、見た目が正当な WordPress サイトを侵害して独自のマルウェアを無料で格納するのは当然のことです。

コード インジェクション:WordPress サイトはどのように攻撃されるのですか?

ほとんどの WordPress ユーザーは、ホスティング アカウントのディレクトリにアーカイブを解凍するか、ホスティング プロバイダーのワンクリック インストーラーを使用して、プラットフォームをインストールします。ただし、これでは、ユーザーが構成ファイルを作成するまでプロセスが不完全なままになります。これは、インストールを完了できない WordPress サイト所有者が攻撃に対して脆弱になる主な理由になります。

攻撃を開始するために、攻撃者はセットアップ URL をスキャンし、インストールの構成部分が不完全なままになっている WordPress インスタンスを特定します。これにより、サイトは外部の取り扱いに開放されたままになるため、外部の関係者がユーザーに代わってアクセスしてインストールを完了することができます。

WordPress サイトを乗っ取るために、攻撃者は、ユーザーが離れた場所から未構成のサイトを拾い上げ、テーマを起動して PHP コードを挿入するか、カスタム プラグインを作成してアップロードします。攻撃者が管理者アクセス権を取得すると、PHP コードの実行を簡単に実装し、一連の悪意のある活動を開始できます。管理者として、攻撃者はホスティング サーバー上のすべてのファイル、Web サイト、さらにはデータベースにアクセスできるようになりました。

WordPress を保護するためのセキュリティのベスト プラクティスについては、ブログをご覧ください。

この欠陥を軽減する明白な方法は、インストール中に WordPress の構成が完全であることを確認することです。さらに、これまで以上に、Web サイト管理者が自分のサイトをスキャンして未完成のインストールがないか確認することが不可欠になっています。定期的な監視と監査により、将来的にこのような攻撃からサイトを保護することもできます.