セキュリティサービスを提供する会社SucuriがWebサイトのハッキング調査結果を公表している。このレポートは四半期ごとに作成されており、今回は8,000以上のハッキングされたWebサイトが元になっている。
Hacked Website Report – 2016/Q3
サマリー
レポートのサマリーをまとめると、次のような内容だ。
- ハッキングされたサイトで一番多くを占めたトップ3はWordPress(74%), Joomla(17%), Magento(6%)
- ハッキングを受けた時点で大半のCMSはバージョンが古くなっている。この割合は増加傾向にある。
- ハッキングの原因となったプラグイントップ3はRevslider, TimThumb, GravitiForms
他にも興味深い事実が載っているので、英語が読める方は元記事を当たってほしい。
ハッキングされたサイトのうち74%をWordPressが占めるというのは驚くに値しない。CMSとしてのシェアが60%近いからである。ただ、数字を読めない人は「WordPressの74%もハッキングされるの?」と驚いてしまう可能性があるので、そのように指摘されたときはきちんと説明したいところだ。
また、WordPressに限らず、ハッキングの多くはサードパーティのプラグインによるところが大きいのだが、GravityFormsのような著名プラグインが入っていることには驚きを覚える。
WordPressプラグインには「有名であるにも関わらず全然メンテされていないもの」が確かに存在していて、名指しをすることは控えるが、某キャッシュプラグインは脆弱性を指摘されるたびに「またあいつか」と感じることが多い。脆弱性の発見が繰り返されるプラグインは、開発体制などに根本的な問題を抱えていることが多いので、その点はじっくり見極めたいところだ。
基本的にはアップデートを継続していれば乗っ取りをされることは少ない。
余談ではあるが、このSucuriのブログはセキュリティ専門家の元ネタとなっている。特にSucuriはWordPressに詳しいので、セキュリティ情報に興味のある方はフォローしてみてはいかがだろう。
コメントを残す