WordPress に対する攻撃の現状と自衛手段について考えてみる


■WordPress に対する攻撃の現状と自衛手段の考察

クラウド Watch に、

WordPress に対する攻撃の現状

を紹介している記事があった。

ジェイピー・セキュア、国内WordPressセキュリティの現状を分析したレポートを公開
ウェブサイトのセキュリティ研究組織「JP-Secure Labs」を開設
https://cloud.watch.impress.co.jp/docs/news/1108025.html

たった三カ月で検出された攻撃が 4700 万件、

うち WordPress 対象と思われるものは 1500 万件とのこと。

まぁ自動化されているからそらそうなんだろうと思うが、

相変わらずすごい数だと思う。

WordPress 向けだけでも、一ヶ月で 500 万件。

一日あたりなら大体 15 — 20 万件。

ということは一時間あたりでみても 6000 件強なので、

1分で 100 件は攻撃試行が行われている、ということだ。

攻撃じゃなくってページビューなら大歓迎なんだけど。



しかし、記事を見るかぎり、攻撃種別は

・SQL インジェクション
・OS コマンドインジェクション
・バッファオーバーフロー
・クロスサイトスクリプティング(XSS)

が上位に来ている。

いずれも結構古株の脆弱性たち。

対策法も確立されているし、静的解析のツール使えば、

かなりリスクは下げられるはず。

しかしながら、こういう形で攻撃がなされているということは、

まだまだ実際に攻撃が成立してしまうからだろう。



WordPress はプラグインが多く、拡張性が高いのが利点。

だが、プラグイン作成者はまちまちなので、

セキュリティやセキュア実装の知識がないと、

脆弱なプラグインが出来上がってしまう。

一方で、利便性の高いプラグインは使いたくなるし使われるのが世の常。

そう考えると、

セキュリティの問題って結局一切なくならないんだろうな、

と思う。悲しいけど。

ただ、悲しがった所で攻撃はやってくる。

プラグインの作成者側が対応してくれるのがベストだが、

そうでない場合もある。

その場合、自衛するしかないのだが、どうやればよいのだろうか?

このサイトのように、レンタルサーバーの場合、

いくら自分のサイトだからといって、

セキュリティテストを掛けるわけにもいかない。

これをやってしまうと、不正アクセス禁止法に

引っかかってしまう恐れも出てしまう。

どうしたらよいんだろうか?諦めるしかないのか?



で、ちょっと考えてみた。

よくよく考えてみると、そんなに難しいことではないかもしれない。

自分の環境に、バックアップを兼ねた同じ環境を作ればよいのだ。

もちろん、インフラ的な所まで同じ環境にすることは無理。

だが、自分の PC に WordPress を入れて、

管理しているサイトと同じプラグインを導入し、

これに対するテストをやってやれば、脆弱性の有無は確認できる。

で、深刻な脆弱性があるようなプラグインは、

たとえ有用であっても使わない(代替プラグインを探す)

という行動をとればいいのだと思う。

このためには、WordPress やそのプラグインに対する

攻撃が有効かどうか、をテスト出来ることが必要になる。

WordPress に対してどこまで有効か、と言うのはあるが、

本サイトでも紹介している、

OWASP ZAP

などで試してみるのはありかと思う。

インストール方法を書いただけで、

詳細な使い方はまだ書けていないが、

こういう使い方ができると、別に Web アプリを作る人ではない

自分にとっても有意義だなぁ。



今回のクラウド Watch の記事のおかげで、ひとまず

・現時点でもどんどん攻撃が発生していること

・攻撃は結構古典的なものがまだまだ主流っぽいこと

がよく分かった。

また、そうは言っても自分でどうしようもない環境の場合、

どうすればいいのか?という疑問も沸いてきた。

これに関して、自分がやってきたことに関して、

意外と使い道があることも発見できた。

元々、レンタルサーバーなど使わず、

自分の raspberry pi 3 を Web サーバーにして、

そこでこのサイトを管理・公開しようと考えていたが、

グローバル IP アドレスの問題で、

レンタルサーバー利用に切り替えていた。

そのため、自分のラズパイに WordPress を入れることに

全く意味を見出せなくなり、やらなくなってしまっていた。

また、OWASP ZAP に関しても、

・テストしようにも自分でテスト用の環境を作らないといけない

というのがあって、後回しにしていた。

が、この記事を書いている途中で、

・ラズベリーパイ内に WordPress サーバーを立ち上げる

・本サイトと同じ環境にする(プラグイン、コンテンツ含め)

・OWASP ZAP で確認する

という形を取ることで、

本サイトの安全性を(部分的にも)確認できるようになる

という意義を見出すことが出来た。

OWASP ZAP で WordPress やプラグインの安全性を

どこまで確認できるのか、という話はあるが、

また新たな挑戦目標が出来た。

今すぐではないが、これも今後の計画に入れておこう。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, ラズパイでセキュリティ タグ: , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください