セキュリティ 2023.07.26

2020年にWordfence上で起きたセキュリティ報告まとめ

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

2020年の間に、そして400万人以上のWordPressの利用者を保守する過程で、Wordfenceの情報活動チームは、サイトクリーニングチーム(Wordfenceのサービスチーム)が収集したマルウェアのサンプルに、WordPressをターゲットとした攻撃や感染の傾向から大量の元データを収集しました。WordPressへのアタックは大きく3つのカテゴリーに分類され、「悪質なログイン」「脆弱性の狙ったアタック」の方法が予想されています。
驚くべきことに、無効化されているプラグインのマルウェアも有名な侵入方法として、述べられています。

この記事では、WordPressを狙った主なアタックの概要と、効果的な対処方法を紹介します。

900億回にもおよぶ悪意なログイン

2020年の間に、Wordfenceのプラグインでは570億以上のIPアドレスから900億回以上の悪質なログイン行為をブロックし、WordPressをターゲットとするアタックは1秒間に2,800件にものぼっています。

悪質なログインは,WordPressを狙った最も一般的な手法です。これらの方法は盗まれた資格情報を使用した「クレデンシャルスタッフィング攻撃」や決められたパターンの攻撃を行う「辞書攻撃」、従来の「ブルートフォース攻撃」が含まれます。

WordPressを守るための多要素認証の使用

WordPressを狙った悪質なログインの大多数は失敗に終わりますが、WordPressを危険に及ぼすのは、たった一回の成功だけです。Wordfence提供するブルートフォースアタック抑える方法は非常に効果的で、多要素認証を使うことにより、WordPressのログインにより一層の安全策を引くことができます。
多要素認証は、自動ログインを試してサイトにアクセスすることを完全に防ぐことができます。WordPressのユーザーアカウントが、データ漏洩で公開され、まだ更新されていない資格情報を再利用しているような最悪なケースでも該当します。

WordPressの脆弱性を狙った30億回のハッキング

Wordfenceは、2020年に970万以上のIPアドレスからの脆弱性を狙った43億件の悪質なログインをブロックしました。これから、1年間で最も多かった5つの攻撃を紹介します。

ディレクトリトラバーサル攻撃

相対パスおよび絶対パスを含む、脆弱性を狙った43%を占め、18億件の攻撃が行われました。これらの大部分は、サイトの wp-config.php ファイルに含まれる機密データへのアクセスを狙ったものでしたが、多くはローカルファイルへの取り込み (LFI) も狙われていました。

SQLインジェクション

9億9,940万件の攻撃を受け、全攻撃の21%を占め、脆弱性の中で2番目に多く使われています。

リモートコード実行(RCE)を目的とした悪意のあるファイルアップロード

脆弱性の中で3番目に多く利用され、全攻撃の11%を占め、4億5,480万件の攻撃を受けました。

クロスサイトスクリプティング

3億3000万件の攻撃を受け、全攻撃の8%を占め、脆弱性の中で4番目に多く利用されました。

認証バイパスの脆弱性

1億4,080万件の攻撃を受けた全試行の3%で、5番目に多く利用されていました。

種類別のアタックの割合

WAFを利用しWordPressを守る

WAFは、WordPressの安全性を維持するため最も重要です。Wordfenceのネットワーク内にある400万サイトのほぼすべてのサイトが、2020年の間に上記の攻撃のうち少なくとも1つを経験しています。

Wordfenceは、WordPressのファイアウォールの代表的な方法であり、継続的に更新され、既存および新たな攻撃から守られています。2020年には、独自のエクスプロイトから守るために、108の新しいルールをWordfenceに導入しました。

マルウェアは無効なプラグインとテーマから一番多くセキュリティを脅かす

Wordfenceスキャナは、昨年1年間に120万のWordPressサイトから7000万以上の悪質なファイルを検出しました。これらのサイトの大部分は、年末までにクリーンアップされました。2020年初頭に感染した13万2,000サイトのみ、いまだ年末まで感染しており、その多くは利用されず放置された可能性が高いと思われます。

WP-VCDマルウェアは、WordPressに対する単一の最も一般的なマルウェアの一つであり、2020年に感染した全サイトの13%にあたる154,928件が感染しました。全体として、Wordfence のスキャナーでは、無効化されたプラグインやテーマに起因するマルウェアが206,000サイトで検出さ、感染したサイト全体の17%以上を占めています。無効化されたプラグインやテーマは、ライセンスチェック機能が無効または削除されたプレミアムプラグインやテーマの海賊版であり、通常はバックドア機能が含まれています。

その他の難読化されたPHPのバックドアは、最も広く検出された攻撃のトップ5の残りの部分を占めています。

自分自身や組織でWordPressのセキュリティについて学習しよう

ポリシー管理は、技術的なコントロールと同様に重要です。なぜなら、技術的なコントロールを迂回できるインサイダーの脅威は、組織に甚大な損害をもたらす可能性があるからです。これは、アメリカのフォーチュン500社の企業と同様に、WordPressにも当てはまります。

インサイダーの脅威は悪意のあるものとして描かれることが多いですが、その大部分はフィッシングリンクをクリックしたり、無効化されたプラグインをインストールしたりといった偶発的なものです。
この種のミスを避けるための最善の方法は、自分自身と組織内の全員を教育することです。Wordfenceのようなプラグインは、無効化したプラグインやテーマをインストールした後に、無効化したプラグインやテーマに由来するマルウェアを検出することができますが、適切なトレーニングを受けることで、管理者が誤って無効化したプラグインをインストールしてしまうことを防ぐことができます。

まとめ

今回の報告では、2020年にWordPressが直面する3つの脅威のうち、最も広く普及しているものを特定しました。

また、これらの脅威から得られる重要なポイントと、それらを最も効果的な対策方法についても記載しました。Wordfenceのような技術的なコントロールは、WordPressのセキュリティを劇的に向上させることができますが、どのような組織においても、人間の要素は常に最も弱いリンクです。サイトのセキュリティを確保するためには、知識を身につけることが最善の方法です。

本記事は下記の記事を翻訳・参考に作成いたしました。

The Wordfence 2020 WordPress Threat Report

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!