本ブログでは、WordPressサイトに対する具体的な攻撃手法も紹介してまいります。
今回ご紹介するのは、途中までインストールした状態で放置されたWordPressに対しての攻撃手法です。
目次
インストール途中のWordPressをそのまま放置するリスク
WordPressののインストール作業は、初心者にとってはハードルが高く、時間を要する作業かと思います。しかし、時間がかかるからといって、インストール途中のWordPressを中途半端な状態で放置することは大変危険です。
具体的には、インストール作業が完了する前に、外部の攻撃者がインストール途中のWordPressを勝手にインストールし、サーバーを乗っ取ることがあるのです。
「本当に外部から勝手にWordPressをインストールできるの?」と思うかもしれませんが、実はこれが意外と簡単にできてしまうのです。以下にて具体的な攻撃手法についてご説明いたします。
攻撃手法
WordPressのインストールウィザードが表示されるサイトを探す
WordPressを手動でインストールする場合、通常の以下の手順で作業を進めていきます。
- WordPress関連ファイルをサーバーにアップロード
- WordPressのアップロード先(例:https://example.com)にブラウザでアクセス
- 表示されたインストールウィザード(例:https://example.com/wp-admin/setup-config.php)に従ってWordPressをインストール
このインストールウィザードですが、WordPressのインストールが完了したサイトでは表示されません。
※ インストールが完了しているサイトでは、サイトのトップページが表示されます。
攻撃者は、この特徴を利用し、インストールウィザードが表示されるか否かで、WordPressがインストール途中であるかを判断しているのです。
WordPressをインストール
インストール途中であることがわかると、攻撃者はインストールウィザード(https://ドメイン名/wp-admin/setup-config.php)を外部から操作し、該当のドメインに対してWordPressのインストールを試みます。
インストールウィザードを進めていくと、データベース情報の入力画面が表示されます。
「管理しているデータベースの情報が盗まれなければ、WordPressをインストールすることはできないのでは」と思われるかもしれませんが、攻撃者は自分が保有する外部のデータベース情報を入力し、インストールを進めてしまうのです。
また、ユーザー登録も攻撃者自身の情報を入力して進めてしまいます。
攻撃者が登録したユーザー情報であるため、後日サイトの管理者が見覚えのないWordPressがインストールされていることに気づいたとしても、サイトにログインすることはできません。
以上でWordPressのインストールは完了となります。
たったこれだけの手順で、攻撃者が管理するWordPressが、皆さんのサーバー上に設置されてしまうのです。
バックドアの設置
WordPressのインストールに成功した攻撃者は、次にシステムに不正にアクセスするための入り口「バックドア」を設置しようとします。
よくある手法として、「バックドアの役割を果たすプラグインをインストールする」方法がありますが、攻撃者がWordPressの管理者でもあることから、プラグインは容易にインストールされてしまいます。
マルウェアの設置
最後に、インストールしたバックドアを使って、サーバーに多くのマルウェアファイルを設置し、攻撃を仕掛けてきます。
WordPressのインストールからマルウェアの設置までの一連の流れには、おおよそ10〜15分程しかかかりません。攻撃者はこの方法を定型化しているため、マルウェアが広がるのもあっという間なのです。
対応策
インストール途中のWordPressを利用した攻撃は以前から存在しますが、システム側で完全に防ぐことが難しい人為的なセキュリティホールであることから、現在でも頻繁に被害が発生しています。
被害を受けないためには、以下のような対策が必要です。
インストール時の対応策
インストール時の対応策としては、「サーバーに対する海外からのアクセスをブロックする」や「WordPressの公開準備が完了するまで、サイトにBasic認証を設定する」といった方法がありますが、これだけでは十分とは言えません。
最も効果的な対応策は、一度インストール作業に取り掛かったら、途中で放置せずにインストールを最後まで完了させることとなります。
新規にWordPressをインストールする際には、途中で作業がストップすることがないよう、必要な情報を用意しておく等、事前の準備をしっかりした上で作業を進めることが重要です。
既に設置済みのWordPressへの対策
まず、サーバー上に利用していないWordPressが放置されていないか確認をしましょう。
もし利用していないWordPressが存在した場合は、サイトのURLにアクセスして、インストールウィザードが表示されるかどうかをチェックします。インストールウィザードが表示されたら、そのWordPressサイトは使われていない可能性が高いので、すぐに削除を検討してください。
一方、インストールウィザードではなく通常のWebページが表示された場合は、そのサイトの内容を確認いただき、不要なサイトであれば、こちらも早めに削除することをおすすめいたします。
WordPressの削除もおまかせ
弊社では、「前任者が多数のWordPessを設置していたが、どれが必要かわからない」、「パスワードを忘れてしまってログインできないため、WordPressサイトの状態が確認できない」、といったご相談も多数いただいております。
用途不明なWordPressga放置されており心配なお客様は、ぜひ一度WPPLUSにご相談ください。
