運営:株式会社e2e

世界のWordPress最新情報を
届けるメディア

2021.05.11セキュリティ

2020年にWordfence上で起きたセキュリティ報告まとめ

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社プレート 取締役

1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

この著者の他の記事を見る >>

2020年の間に、そして400万人以上のWordPressの利用者を保守する過程で、Wordfenceの情報活動チームは、サイトクリーニングチーム(Wordfenceのサービスチーム)が収集したマルウェアのサンプルに、WordPressをターゲットとした攻撃や感染の傾向から大量の元データを収集しました。WordPressへのアタックは大きく3つのカテゴリーに分類され、「悪質なログイン」「脆弱性の狙ったアタック」の方法が予想されています。
驚くべきことに、無効化されているプラグインのマルウェアも有名な侵入方法として、述べられています。

この記事では、WordPressを狙った主なアタックの概要と、効果的な対処方法を紹介します。

900億回にもおよぶ悪意なログイン

2020年の間に、Wordfenceのプラグインでは570億以上のIPアドレスから900億回以上の悪質なログイン行為をブロックし、WordPressをターゲットとするアタックは1秒間に2,800件にものぼっています。

悪質なログインは,WordPressを狙った最も一般的な手法です。これらの方法は盗まれた資格情報を使用した「クレデンシャルスタッフィング攻撃」や決められたパターンの攻撃を行う「辞書攻撃」、従来の「ブルートフォース攻撃」が含まれます。

WordPressを守るための多要素認証の使用

WordPressを狙った悪質なログインの大多数は失敗に終わりますが、WordPressを危険に及ぼすのは、たった一回の成功だけです。Wordfence提供するブルートフォースアタック抑える方法は非常に効果的で、多要素認証を使うことにより、WordPressのログインにより一層の安全策を引くことができます。
多要素認証は、自動ログインを試してサイトにアクセスすることを完全に防ぐことができます。WordPressのユーザーアカウントが、データ漏洩で公開され、まだ更新されていない資格情報を再利用しているような最悪なケースでも該当します。

WordPressの脆弱性を狙った30億回のハッキング

Wordfenceは、2020年に970万以上のIPアドレスからの脆弱性を狙った43億件の悪質なログインをブロックしました。これから、1年間で最も多かった5つの攻撃を紹介します。

ディレクトリトラバーサル攻撃

相対パスおよび絶対パスを含む、脆弱性を狙った43%を占め、18億件の攻撃が行われました。これらの大部分は、サイトの wp-config.php ファイルに含まれる機密データへのアクセスを狙ったものでしたが、多くはローカルファイルへの取り込み (LFI) も狙われていました。

SQLインジェクション

9億9,940万件の攻撃を受け、全攻撃の21%を占め、脆弱性の中で2番目に多く使われています。

リモートコード実行(RCE)を目的とした悪意のあるファイルアップロード

脆弱性の中で3番目に多く利用され、全攻撃の11%を占め、4億5,480万件の攻撃を受けました。

クロスサイトスクリプティング

3億3000万件の攻撃を受け、全攻撃の8%を占め、脆弱性の中で4番目に多く利用されました。

認証バイパスの脆弱性

1億4,080万件の攻撃を受けた全試行の3%で、5番目に多く利用されていました。

種類別のアタックの割合

WAFを利用しWordPressを守る

WAFは、WordPressの安全性を維持するため最も重要です。Wordfenceのネットワーク内にある400万サイトのほぼすべてのサイトが、2020年の間に上記の攻撃のうち少なくとも1つを経験しています。

Wordfenceは、WordPressのファイアウォールの代表的な方法であり、継続的に更新され、既存および新たな攻撃から守られています。2020年には、独自のエクスプロイトから守るために、108の新しいルールをWordfenceに導入しました。

マルウェアは無効なプラグインとテーマから一番多くセキュリティを脅かす

Wordfenceスキャナは、昨年1年間に120万のWordPressサイトから7000万以上の悪質なファイルを検出しました。これらのサイトの大部分は、年末までにクリーンアップされました。2020年初頭に感染した13万2,000サイトのみ、いまだ年末まで感染しており、その多くは利用されず放置された可能性が高いと思われます。

WP-VCDマルウェアは、WordPressに対する単一の最も一般的なマルウェアの一つであり、2020年に感染した全サイトの13%にあたる154,928件が感染しました。全体として、Wordfence のスキャナーでは、無効化されたプラグインやテーマに起因するマルウェアが206,000サイトで検出さ、感染したサイト全体の17%以上を占めています。無効化されたプラグインやテーマは、ライセンスチェック機能が無効または削除されたプレミアムプラグインやテーマの海賊版であり、通常はバックドア機能が含まれています。

その他の難読化されたPHPのバックドアは、最も広く検出された攻撃のトップ5の残りの部分を占めています。

自分自身や組織でWordPressのセキュリティについて学習しよう

ポリシー管理は、技術的なコントロールと同様に重要です。なぜなら、技術的なコントロールを迂回できるインサイダーの脅威は、組織に甚大な損害をもたらす可能性があるからです。これは、アメリカのフォーチュン500社の企業と同様に、WordPressにも当てはまります。

インサイダーの脅威は悪意のあるものとして描かれることが多いですが、その大部分はフィッシングリンクをクリックしたり、無効化されたプラグインをインストールしたりといった偶発的なものです。
この種のミスを避けるための最善の方法は、自分自身と組織内の全員を教育することです。Wordfenceのようなプラグインは、無効化したプラグインやテーマをインストールした後に、無効化したプラグインやテーマに由来するマルウェアを検出することができますが、適切なトレーニングを受けることで、管理者が誤って無効化したプラグインをインストールしてしまうことを防ぐことができます。

まとめ

今回の報告では、2020年にWordPressが直面する3つの脅威のうち、最も広く普及しているものを特定しました。

また、これらの脅威から得られる重要なポイントと、それらを最も効果的な対策方法についても記載しました。Wordfenceのような技術的なコントロールは、WordPressのセキュリティを劇的に向上させることができますが、どのような組織においても、人間の要素は常に最も弱いリンクです。サイトのセキュリティを確保するためには、知識を身につけることが最善の方法です。

本記事は下記の記事を翻訳・参考に作成いたしました。

The Wordfence 2020 WordPress Threat Report

注目記事バナー