WordPressの脆弱性と企業サイトの脆弱性攻撃対策

2023.04.04
CMS
システムセキュリティ調査開発

WordPressは世界で60%を超える圧倒的シェアを誇るCMSです。WordPressを利用する上場企業のコーポレートサイトも年々増加しています。
一方、世界で最も脆弱性が狙われやすいリスクのあるCMSで、脆弱性を抱えたまま公開しているサイトが多くあります。
本記事ではWordPressの脆弱性とWordPressを利用する上場企業の対策の実態をご紹介します。

WordPressの脆弱性と上場企業サイトの対策実態のタイトルイメージ

WordPressの上場企業サイト導入率

WordPressをコーポレートサイトに利用している上場企業は、3,790社中の約31%です。
コーポレートサイト以外の記事サイトやブランドサイトなどでは、さらに多く利用されていると想定されます。

WordPressの上場企業コーポレートサイト導入率(円グラフ)WordPress:30.9%、その他CMS:13.0%、CMS未導入または不明:56.1%

WordPressの脆弱性攻撃対策実態調査

WordPressは脆弱性が多く、必要な対策は多岐にわたります。
WordPressを導入している上場企業のコーポレートサイトを対象に、脆弱性対策の中でも代表的な一つの対策を調査したところ、約半数超で対策がなされていませんでした。

WordPressの脆弱性攻撃対策実態調査(円グラフ) 未対策:55.3%、対策済:55.3%

WordPressの脆弱性と攻撃の増加

WordPress の脆弱性を狙った攻撃は、世界中で継続的に発生し、増加していることが明らかになっています。2021年には、約1000件の脆弱性が公表されました。

WordPressの脆弱性の棒グラフ(2010~2021年の年別件数の推移)

WordPressの脆弱性を狙った攻撃件数

WordPress の脆弱性を狙った攻撃は、毎日1万件以上発生しています。
アップデートのタイミングで脆弱性が見つかると、集中的な攻撃が発生します。特にWordPressのプラグインを狙った攻撃が多く発生しています。

WordPressの脆弱性が攻撃されやすい理由

WordPressの脆弱性が狙われやすい理由には、世界で普及率が最も高いオープンソースであることや、プラグインでの拡張で便利な反面、責任が不明確になりやすいことなどがあります。
主な理由を以下に挙げました。

  • オープンソースのCMS
    • ソースコードが公開/世界で最も普及/世界のCMS市場シェア:63.3%(2023年2月、W3Techs調べ)/セキュリティ対策のメーカーによるサポートがない/バージョンアップが速く、管理上の問題が起きやすい
  • プラグインで機能を追加
    • ユーザーによるセットアップ/初期設定での利用/ネットワークセキュリティ対策/デバイス利用管理/アクセス権限管理/WordPressやプラグインのバージョン管理
  • 設定・環境・運用面の不備
    • ユーザーによるセットアップ/初期設定での利用/ネットワークセキュリティ対策/デバイス利用管理/アクセス権限管理/WordPressやプラグインのバージョン管理

WordPressの脆弱性を狙った攻撃手法

WordPressの脆弱性を狙った攻撃手法には、悪意ある第三者による不正ログインやデータベースの不正操作などがあります。
WordPress を利用したWebサイトを守るためには、どのような攻撃が行われるかを知っておく必要があります。 以下に、主な攻撃手法をご紹介します。

WordPressの管理画面への不正ログイン

管理画面の不正ログインで、個人情報の流出やサイト改ざんなどの被害を受けるリスクがあります。

総当たり攻撃

考えられるパスワードを順番に全て試し、総当たりでログインを試みる手法です。
 

管理画面への不正ログイン(パスワード総当たり攻撃のイメージ)

ID・パスワードの組み合わせで攻撃

フィッシングサイトなどで不正に入手したID・パスワードを組み合わせ、ログインを試みる手法です。

管理画面への不正ログイン(ID・パスワードの不正入手による攻撃のイメージ)

コンテンツの改ざん

Webサイトのコンテンツを外部から不正アクセスし、改ざんする攻撃手法です。
 

コンテンツの改ざんの流れ(外部からの不正アクセスによる攻撃のイメージ)

データベースの不正操作

SQLコマンドを悪用し、データベースへ不正にアクセスし、データの取得、改ざん、削除などを行う攻撃手法です。

データベースの不正操作の流れ(SQLコマンドの悪用による攻撃のイメージ)

悪質サイトへの誘導

Webサイトに悪質なサイトへユーザーを誘導するスクリプトを仕込み、誘導先で情報の不正取得などを行う攻撃手法です。

悪質なサイトへの誘導の流れ(スクリプト埋め込みから誘導先サイトでの情報の不正取得のイメージ)

ファイルへの不正アクセス

Webサーバーの非公開ファイルにアクセスを行い、個人情報の不正取得などを行う攻撃手法です。

ファイルへの不正アクセスの流れ(非公開ファイルへのアクセスによる情報不正取得のイメージ)

WordPressの脆弱性対策実施前に攻撃

脆弱性の情報公開や対策が講じられる前に、その脆弱性を狙う攻撃です。
 

脆弱性対策の実施前の攻撃(ゼロデイ攻撃)の仕組み(脆弱性の発見から対策適用前までの攻撃イメージ)

WordPressの脆弱性攻撃対策

WordPressを安全に利用するための基本的な脆弱性対策をご紹介します。

  • コンピューター・WordPress・プラグインのバージョン管理
    • コンピューター・サーバーのOSを最新化/ミドルウェアの最新化/WordPressの最新化・修正プログラムの適用/プラグインやテーマの最新化/不要なテーマやプラグインの削除/適切な設定/脆弱性情報の収集
  • WordPress管理画面のセキュリティ強化
    • ユーザー名やパスワードの複雑化/IPによるアクセス制限/管理画面へのアクセス制限
  • 重要な設定ファイルへのアクセス制限
    • 初期設定の完了/重要なファイルへのアクセス制限/データベース設定ファイルへのアクセス制限
  • 公開環境のセキュリティ対策の実施
    • SSLの導入/ファイアウォールの設置/WAF(Web Application Firewall)の導入/Web改ざん検知・不正侵入検知システムの導入
  • WordPressのセキュリティツール・サービスの利用
    • セキュリティプラグインの追加/脆弱性・セキュリティ診断ツール・サービスの利用
  • WordPressマネージドクラウドサービスの利用
    • セキュリティ対策の強化/監視・運用サービスの活用

WordPressの脆弱性に関するご依頼やご相談など、 お気軽にお問い合わせください

Webサイト構築・運用をご検討中の皆様へ
Webサイト構築サービス及び運用サービスをぜひご参照ください。

Webサイト構築
Webサイト運用
タイトルとURLをコピーしました