津久井 隆行
津久井 隆行
金融、通信業界等の大規模システムの開発、マネージメントに従事。
WordPressサイト制作サービス「WPPLUS」を展開。
AI、DeepLearningについての知見も。
JDLA Deep Learning for Engineer
JDLA Deep Learning for General

Category

最新記事

人気記事

サイト攻撃手法

インストール途中のWordPressを狙った攻撃

津久井 隆行
津久井 隆行

本ブログでは、WordPressサイトに対する具体的な攻撃手法も紹介してまいります。

今回ご紹介するのは、途中までインストールした状態で放置されたWordPressに対しての攻撃手法です。

インストール途中のWordPressをそのまま放置するリスク

WordPressののインストール作業は、初心者にとってはハードルが高く、時間を要する作業かと思います。しかし、時間がかかるからといって、インストール途中のWordPressを中途半端な状態で放置することは大変危険です。

具体的には、インストール作業が完了する前に、外部の攻撃者がインストール途中のWordPressを勝手にインストールし、サーバーを乗っ取ることがあるのです。

「本当に外部から勝手にWordPressをインストールできるの?」と思うかもしれませんが、実はこれが意外と簡単にできてしまうのです。以下にて具体的な攻撃手法についてご説明いたします。

攻撃手法

WordPressのインストールウィザードが表示されるサイトを探す

WordPressを手動でインストールする場合、通常の以下の手順で作業を進めていきます。

  1. WordPress関連ファイルをサーバーにアップロード
  2. WordPressのアップロード先(例:https://example.com)にブラウザでアクセス
  3. 表示されたインストールウィザード(例:https://example.com/wp-admin/setup-config.php)に従ってWordPressをインストール

このインストールウィザードですが、WordPressのインストールが完了したサイトでは表示されません。
※ インストールが完了しているサイトでは、サイトのトップページが表示されます。

攻撃者は、この特徴を利用し、インストールウィザードが表示されるか否かで、WordPressがインストール途中であるかを判断しているのです。

WordPressをインストール

インストール途中であることがわかると、攻撃者はインストールウィザード(https://ドメイン名/wp-admin/setup-config.php)を外部から操作し、該当のドメインに対してWordPressのインストールを試みます。

インストールウィザードを進めていくと、データベース情報の入力画面が表示されます。

「管理しているデータベースの情報が盗まれなければ、WordPressをインストールすることはできないのでは」と思われるかもしれませんが、攻撃者は自分が保有する外部のデータベース情報を入力し、インストールを進めてしまうのです。

また、ユーザー登録も攻撃者自身の情報を入力して進めてしまいます。

攻撃者が登録したユーザー情報であるため、後日サイトの管理者が見覚えのないWordPressがインストールされていることに気づいたとしても、サイトにログインすることはできません。

以上でWordPressのインストールは完了となります。
たったこれだけの手順で、攻撃者が管理するWordPressが、皆さんのサーバー上に設置されてしまうのです。

バックドアの設置

WordPressのインストールに成功した攻撃者は、次にシステムに不正にアクセスするための入り口「バックドア」を設置しようとします。

よくある手法として、「バックドアの役割を果たすプラグインをインストールする」方法がありますが、攻撃者がWordPressの管理者でもあることから、プラグインは容易にインストールされてしまいます。

マルウェアの設置

最後に、インストールしたバックドアを使って、サーバーに多くのマルウェアファイルを設置し、攻撃を仕掛けてきます。

WordPressのインストールからマルウェアの設置までの一連の流れには、おおよそ10〜15分程しかかかりません。攻撃者はこの方法を定型化しているため、マルウェアが広がるのもあっという間なのです。

対応策

インストール途中のWordPressを利用した攻撃は以前から存在しますが、システム側で完全に防ぐことが難しい人為的なセキュリティホールであることから、現在でも頻繁に被害が発生しています。

被害を受けないためには、以下のような対策が必要です。

インストール時の対応策

インストール時の対応策としては、「サーバーに対する海外からのアクセスをブロックする」や「WordPressの公開準備が完了するまで、サイトにBasic認証を設定する」といった方法がありますが、これだけでは十分とは言えません。

最も効果的な対応策は、一度インストール作業に取り掛かったら、途中で放置せずにインストールを最後まで完了させることとなります。

新規にWordPressをインストールする際には、途中で作業がストップすることがないよう、必要な情報を用意しておく等、事前の準備をしっかりした上で作業を進めることが重要です。

既に設置済みのWordPressへの対策

まず、サーバー上に利用していないWordPressが放置されていないか確認をしましょう。

もし利用していないWordPressが存在した場合は、サイトのURLにアクセスして、インストールウィザードが表示されるかどうかをチェックします。インストールウィザードが表示されたら、そのWordPressサイトは使われていない可能性が高いので、すぐに削除を検討してください。

一方、インストールウィザードではなく通常のWebページが表示された場合は、そのサイトの内容を確認いただき、不要なサイトであれば、こちらも早めに削除することをおすすめいたします。

WordPressの削除もおまかせ

弊社では、「前任者が多数のWordPessを設置していたが、どれが必要かわからない」、「パスワードを忘れてしまってログインできないため、WordPressサイトの状態が確認できない」、といったご相談も多数いただいております。

用途不明なWordPressga放置されており心配なお客様は、ぜひ一度WPPLUSにご相談ください。

SHARE
X(旧Twitter) Facebook LINE

この記事を書いた人

津久井 隆行
津久井 隆行
金融、通信業界等の大規模システムの開発、マネージメントに従事。
WordPressサイト制作サービス「WPPLUS」を展開。
AI、DeepLearningについての知見も。
JDLA Deep Learning for Engineer
JDLA Deep Learning for General

関連記事この記事を読んだ方は以下の記事も読んでいます

記事一覧へ戻る

お問い合わせ

WPPLUSセキュリティサービスへのお問い合わせは以下よりお願いいたします

WEBからのお問い合わせ
お問い合わせ
お電話でのお問い合わせ 047-701-5206 【受付時間】 8:00 〜 20:00
(土日祝も受け付けております)
ページ先頭へ