今回は「Wordpressのセキュリティ」ネタです。

WordPressは、ウェブサイトを制作する上で世界で最も使用されているCMSです。しかしその人気は、WordPressのサイトがハッカーの対象になります。

Wordpressのセキュリティの脆弱性を理解する＆あなたがワードプレスを保護する。

あなた自身でウェブサイトを保護する方法を理解するためには、WordPressのセキュリティの脆弱性の種類を理解する必要があります。この記事では、ワードプレスをロックダウンし、一般的な脅威か見ていきます。

Wordpressのセキュリティの脆弱性

• 52%は、Wordpressのプラグインから侵入。
• 37%が、コアワードプレスから侵入。
• 11%がWordpressのテーマから侵入。

出典：WPScan.orgからの統計

39%クロスサイトスクリプティング（XSS）

XSSは、他のユーザーが閲覧中のウェブページにクライアント側のスクリプトを挿入します。アクセス制御と他の偽装攻撃を回避するために使用します。インターネット上すべてのセキュリティ脆弱性の84%がXSSによる攻撃です。

その他の攻撃ベクトル

• 11% - FTPから。（アップロード侵入）
• 7% - CSRF（クロスサイトリクエストフォージェリ。コメント欄や問い合わせフォームから侵入）
• 5% - SQLI（データベースの改ざん）
• 3% - LFI（ローカルファイルインクルード。ローカル上のファイルを読み込んでしまう脆弱性）
• 2% - RFI（リモートファイルインクルージョン。スクリプト言語の脆弱性を狙った攻撃）
• 2% - 認証バイパス
• 1% - リダイレクト
• 1% - XXE（XML外部エンティティ攻撃）
• 6% - 不明

ファイルインクルージョンの脆弱性

ウェブサイトは、URLの中に置かれた引数に応答し動いています。
あなたのPCに、もし脆弱性が含まれていた場合を想像してみてください。
誰かがこの脆弱性を発見した場合、それが悪用される可能性があり。そして、これは出力（設定適切な権限のない）UNIXサーバーのパスワードファイルを盗み攻撃するでしょう。

これが発生する可能性がわずか害例です。または誰かが同様にこの方法を介してサーバー上に自分のファイルをアップロードすることができます。

あなたがワードプレスを保護する方法

弱いログインを削除します。強力なパスワードを強制＆２要素認証（reCAPTCHA）を使用する。

マルウェア防止。

脆弱なサーバーを変更する。

適切なユーザー許可を設定する。

正しいワードプレスをセットアップする。

すべてのテーマ、プラグインを最新に保つ。

許可を設定する。

転用：WordPress Topic株式会社フォチューナから

FORTUNA.INC（株式会社フォチューナ）は、WordPressとCMSをメインにwebサイトの制作とデザインを得意としています。東京、秋田、札幌でITテクノロジーの先にある「感動」を目指しウェブサービスを創り続けています。