【対策6項目!!】サイト保護とWORDPRESSの脆弱性を理解する
今回は「Wordpressのセキュリティ」ネタです。
WordPressは、ウェブサイトを制作する上で世界で最も使用されているCMSです。しかしその人気は、WordPressのサイトがハッカーの対象になります。
Wordpressのセキュリティの脆弱性を理解する&あなたがワードプレスを保護する。
あなた自身でウェブサイトを保護する方法を理解するためには、WordPressのセキュリティの脆弱性の種類を理解する必要があります。この記事では、ワードプレスをロックダウンし、一般的な脅威か見ていきます。
Wordpressのセキュリティの脆弱性
出典:WPScan.orgからの統計
39%クロスサイトスクリプティング(XSS)
XSSは、他のユーザーが閲覧中のウェブページにクライアント側のスクリプトを挿入します。アクセス制御と他の偽装攻撃を回避するために使用します。インターネット上すべてのセキュリティ脆弱性の84%がXSSによる攻撃です。
その他の攻撃ベクトル
- 11% - FTPから。(アップロード侵入)
- 7% - CSRF(クロスサイトリクエストフォージェリ。コメント欄や問い合わせフォームから侵入)
- 5% - SQLI(データベースの改ざん)
- 3% - LFI(ローカルファイルインクルード。ローカル上のファイルを読み込んでしまう脆弱性)
- 2% - RFI(リモートファイルインクルージョン。スクリプト言語の脆弱性を狙った攻撃)
- 2% - 認証バイパス
- 1% - リダイレクト
- 1% - XXE(XML外部エンティティ攻撃)
- 6% - 不明
ファイルインクルージョンの脆弱性
ウェブサイトは、URLの中に置かれた引数に応答し動いています。
あなたのPCに、もし脆弱性が含まれていた場合を想像してみてください。
誰かがこの脆弱性を発見した場合、それが悪用される可能性があり。そして、これは出力(設定適切な権限のない)UNIXサーバーのパスワードファイルを盗み攻撃するでしょう。
これが発生する可能性がわずか害例です。または誰かが同様にこの方法を介してサーバー上に自分のファイルをアップロードすることができます。
あなたがワードプレスを保護する方法
弱いログインを削除します。強力なパスワードを強制&2要素認証(reCAPTCHA)を使用する。
マルウェア防止。
脆弱なサーバーを変更する。
適切なユーザー許可を設定する。
正しいワードプレスをセットアップする。
すべてのテーマ、プラグインを最新に保つ。
許可を設定する。
転用:WordPress Topic株式会社フォチューナから
FORTUNA.INC(株式会社フォチューナ)は、WordPressとCMSをメインにwebサイトの制作とデザインを得意としています。東京、秋田、札幌でITテクノロジーの先にある「感動」を目指しウェブサービスを創り続けています。