インストール寸前のWordPressを狙うスパムが増殖中 - Capital P - WordPressメディア

インストール寸前のWordPressを狙うスパムが増殖中

WordPress専門のセキュリティプラグインとして有名なWordfenceがインストール中のWordPressサイトを狙う新しい攻撃方法が見つかった攻撃が増えていると報じている。詳細は元記事 “The WPSetup Attack: New Campaign Targets Fresh WordPress Installs” を参照のこと。

高橋 文樹 による追記 @ 2017年7月14日

DigitalCubeの岡本さんから指摘があったのだが、この攻撃手法自体は以前から存在しているようで、日本のレンタルサーバー会社も合わせ技イッポンの大々的な被害にあった事実がある。今回紹介したWordFenceの記事ではそのように書かれていなかったが、ともかく、「そうした攻撃を行うボットが先月から増えているよ」ということのようだ。

攻撃手法の概要

さて、WordPressをインストールしたことがある人はご存知だろうが、WordPressのファイルをサーバーに設置したあと、ブラウザから画面にアクセスすると、インストールウィザードが開始される。

インストール開始画面。たしかに、ここにはブラウザからアクセスしている……

今回の攻撃手法では、ユーザーがインストール画面にアクセスするより先にボットに /wp-admin/setup-config.php を表示させ、いけそうだったら先にインストールしてしまうという、「インターネットひったくり」のような手法だ。

ポイントとしては、データベースの情報は外部のもので構わない。データベースに接続できなくても、テーマエディタやプラグインエディタからPHPの実行はできてしまうので、セキュリティハックとしては目標達成だ。

対策と現実的な脅威

元記事では対策としてIP制限が挙げられていたが、「め、めんどくさいなあ……」が筆者の正直な気持ちだ。

今回の脆弱性の場合、もし自分がインストールしようとしている途中なら、勝手に wp-config.php が生成されているので、さすがに気付くだろう。この場合、あまり深刻な事態にはならなそうだ。

それよりも問題となるのは放置していたWordPressの場合だろう。「テスト用にアップロードしたけどそのまま忘れていた」というのはいかにもありそうな話だ。

もしあなたがホスティング会社の一員だったり、不特定多数の人がWordPressをインストールする団体(それがなんなのかはわからないが)だったりする場合は、1,000人に1人ぐらいはそうしたミスを犯す人がいるかもしれない。

それにしても、こうした抜け道を次から次へと思いつくなんて、本当に悪人は勤勉である。

“インストール寸前のWordPressを狙うスパムが増殖中” への2件のフィードバック

  • 佐々木

    以前から運用していたサイトが急に/wp-admin/setup-config.phpにリダイレクトされてしまい開くことができなくなってしまいました。不思議に思い調べたところこちらの記事にたどり着きました。内容を拝見したところまさにご紹介されている状態となっています。現在もいくつかのサイトを運営していますが、このようなケースは初めてでどうしていいか分からず解説されているサイトもありませんでした。このまま続けても良いのか、また解決策はあるのでしょうか?ご教授いただけましたら幸いです。よろしくお願い致します。

  • 高橋 文樹 投稿者

    > このまま続けても良いのか、

    サイトが乗っ取られた場合、「自分は被害者である」という意識が先行してしまいがちですが、乗っ取られている間は悪事の片棒を担いでいる可能性(例・スパムメール送信の踏み台)があるので、頑張って直しましょう。

    > また解決策はあるのでしょうか?

    ケースバイケースなのですが、基本的には改ざんされた経路をつぶすのが手取り早いです。「この記事の通り」とおっしゃっていますが、「以前から運用していた」と書いているので、インストール直後ののっとりではないですよね? おそらく、テーマまたはプラグインに脆弱性があり、そこからハッキングされたと思います。

    – WordPress本体・テーマ・プラグインをすべて最新版にする
    wp checksum コマンドなどを使って、改ざんされているファイルを突き止める
    – 利用しているすべてのテーマ・プラグインについて「テーマ名 脆弱性」「theme-name vulnerability」などでググり、先行事例がないか突き止める

    といったことをやると原因がわかります。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください