WordPressへの攻撃でてんやわんやの昨日と対処法(アプデだけじゃダメよ)

2017年2月7日
Wordpress, セキュリティ

本日はなんと、ロータリークラブでの講演です。お題は「AIの発達でなくなる職業は・・・」
前にエントリーで書いたけど、話し出したら場が凍り付くんではないかと思う。楽しみだ。www
なお、講演についてはちゃんと謝礼頂けるなら日程さえ合えば引き受けますよ。ただし情報商材セミナーとかそういう関係は無しでお願いします。

さて、昨日は日本のWordPress界(そういうものがあればだが)が凍り付いた日なのであった。1/26に更新されたマイナーアップデートの4.7.2が行き渡った頃の2/1に、「実は 4.7.0 と 4.7.1には深刻なセキュリティホールがあって、更新しないと外部から書き換えできちゃうよ」というリリースがあったことが広まったからだ。すぐにリリースしなかったのはアップデートが浸透するのを待っていたからと思われる。
ちなみに4.6.xの以前の古いままのは問題ありません(それはそれで別の問題はある)。

WordPress の脆弱性対策について

実は、WordPressはメジャーアップデートは手動更新だが、マイナーアップデートはデフォルトで自動更新になる。自分の関係しているサイト(管理はエンジニアがやっている)でも、自動アップデートされているはずが、理由は不明だがされてないのがけっこうあり、間隙を縫って激しい攻撃に遭ってました。その前のマイナーアプデは自動でされてるのに、これだけがされてないの。

管理しているサイトのログを見ると、2/5くらいから愉快犯と思われる攻撃があり、自動アップデートしていたのはブロックしていた。が、確認のタイミングが遅れてやられていたのがひとつ。

仕組み的には情報処理推進機構のイラストをお借りしますと・・・・

という感じで、外から投稿を書き換える事ができる。書き換えるのは任意の投稿なので、新しいものでなくてもいいし、固定ページも対象になる。内部にログインできるわけではないので根本的に乗っ取られるとかそういうのではないっぽい。

ちなみに書き換えたページには「Hacked by ××」みたいなのが残されるのが多い(愉快犯ぽいね)から、それで検索してみると10万件以上ヒットします。人間がやってるわけじゃなくて、botにやらせてるんだと思います。まだそのままで気づいてないのも多数・・・

もちろん、こういうのはまだイタズラだからマシだが、中国詐欺団が偽販売サイトのページを入れたり、フィッシング詐欺のページへのリンクを書き込んだりは普通にできるでしょう。

対処法は・・・・

まず、アップデートされてるか確認してまだのときはアップデートするのは当然だが、改ざんをやられてないか確認する必要がある。数十ページならともかくも、数百、数千あると視認すると死人になります w。

基本的にはやられているとすると、1月末あたり以降のはず。もちろん4.7.0 と 4.7.1あたりのリリース日以降はこのリスクはあったわけだが、常識的に考えて2/1に「セキュリティホールがあったので大至急アップデートしてね」という広報があってからでしょう。となると、「それ以降に更新されたページを確認」すればよい。もちろん心配なら遡ってもいいですよ。改ざんされていたらバックアップから復旧させてください。

DBを見るのが一番よいのだが、素人にはそうもいかない。しかしWordPressには公開日時は管理画面で分かっても、更新日時はわからない。このブログとかはFunction.phpにここから頂いたソースを記述しました。ただし怒素人さんの場合、適当に記載して動かなくなった、表示がぶち壊れたというリスクもありますので、責任は負いません。くれぐれもよろしくね。

そうしますと

こんな感じで右端に更新日時が出るようになりました。ソートもできるので、ここから新しく更新されたページを上から順に見て行けば良い。固定ページは視認してください。

これをしておけば、これからもちょくちょく勝手に改ざんされたのはないかチェックできますよ。

WordPressは危険なのか

で、「だからWordPressは危険だ」という危険廚がいらっしゃいましたので、かばうわけではないですが、一応弁明しておきます。WordPressに限らず、世の中のCMSをはじめとするプログラムには、どこかしこにセキュリティホールはあります。人間が作ってるんだから仕方ない。WordPressが攻撃されるのは数が多いからです。「豊洲は危険だが築地は安全だ」「原子力発電は危険だが水力発電は安全だ」と同レベルです。水力発電のために建設された黒四ダムは工事中に171人も亡くなってます!ひい!

WindowsのウイルスがたくさんあるのにMacのが少ないのは、MacOSにセキュリティホールがないからではなくて、Macのシェアが小さいからMacのウイルス作っても全然広がらないから。

ここに情報が出ていますが、WordPressのライバルでもあるMovable Typeにも脆弱性の報告がされています。(関係ないけど「ビジネスLaLa Call」は盗聴可能だったというのも出てて、怖ッ!!)

したがって、CMS使うならアップデートはいつも最新に。WordPressをいじり倒していて自動アップデートを不可にしている場合は、いつもリリースに注意して運用しましょうね、的な事で最後を締めたいと思います。思い出したけど「HPリース詐欺」の場合、管理権限がユーザーに与えられていないので、運営会社が夜逃げして物凄い古いバージョンのままだったりするので注意ですよ。

経営者とか役職の方は、この本とか非常に簡単なのでお薦め。ロータリークラブでも読むように奨めたいと思います。

このエントリに関連するのはこんなのがあります

続) ロリポップのWordPress大量乗っ取りについての推測と対応 えっ、あの会社も?! 踏み台にされて大規模攻撃に使われている多数のWordPressサイト!! WordPressになんでもかんでもプラグイン入れるのやめろ 新しいiPhone7にしたら古いiPhoneの2段階認証設定を移植しないと死ぬぞ!!回復方法はコレだ!ほか、いろいろです。
  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP