SucuriがWebサイトハッキング調査2016Q3を公表

セキュリティサービスを提供する会社SucuriがWebサイトのハッキング調査結果を公表している。このレポートは四半期ごとに作成されており、今回は8,000以上のハッキングされたWebサイトが元になっている。

Hacked Website Report – 2016/Q3

サマリー

レポートのサマリーをまとめると、次のような内容だ。

  1. ハッキングされたサイトで一番多くを占めたトップ3はWordPress(74%), Joomla(17%), Magento(6%)
  2. ハッキングを受けた時点で大半のCMSはバージョンが古くなっている。この割合は増加傾向にある。
  3. ハッキングの原因となったプラグイントップ3はRevslider, TimThumb, GravitiForms

他にも興味深い事実が載っているので、英語が読める方は元記事を当たってほしい。

ハッキングされたサイトのうち74%をWordPressが占めるというのは驚くに値しない。CMSとしてのシェアが60%近いからである。ただ、数字を読めない人は「WordPressの74%もハッキングされるの?」と驚いてしまう可能性があるので、そのように指摘されたときはきちんと説明したいところだ。

また、WordPressに限らず、ハッキングの多くはサードパーティのプラグインによるところが大きいのだが、GravityFormsのような著名プラグインが入っていることには驚きを覚える。

WordPressプラグインには「有名であるにも関わらず全然メンテされていないもの」が確かに存在していて、名指しをすることは控えるが、某キャッシュプラグインは脆弱性を指摘されるたびに「またあいつか」と感じることが多い。脆弱性の発見が繰り返されるプラグインは、開発体制などに根本的な問題を抱えていることが多いので、その点はじっくり見極めたいところだ。

基本的にはアップデートを継続していれば乗っ取りをされることは少ない。

余談ではあるが、このSucuriのブログはセキュリティ専門家の元ネタとなっている。特にSucuriはWordPressに詳しいので、セキュリティ情報に興味のある方はフォローしてみてはいかがだろう。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください