WordPress専門のセキュリティプラグインとして有名なWordfenceがインストール中のWordPressサイトを狙う新しい攻撃方法が見つかった攻撃が増えていると報じている。詳細は元記事 “The WPSetup Attack: New Campaign Targets Fresh WordPress Installs” を参照のこと。
DigitalCubeの岡本さんから指摘があったのだが、この攻撃手法自体は以前から存在しているようで、日本のレンタルサーバー会社も合わせ技イッポンの大々的な被害にあった事実がある。今回紹介したWordFenceの記事ではそのように書かれていなかったが、ともかく、「そうした攻撃を行うボットが先月から増えているよ」ということのようだ。
攻撃手法の概要
さて、WordPressをインストールしたことがある人はご存知だろうが、WordPressのファイルをサーバーに設置したあと、ブラウザから画面にアクセスすると、インストールウィザードが開始される。
今回の攻撃手法では、ユーザーがインストール画面にアクセスするより先にボットに /wp-admin/setup-config.php を表示させ、いけそうだったら先にインストールしてしまうという、「インターネットひったくり」のような手法だ。
ポイントとしては、データベースの情報は外部のもので構わない。データベースに接続できなくても、テーマエディタやプラグインエディタからPHPの実行はできてしまうので、セキュリティハックとしては目標達成だ。
対策と現実的な脅威
元記事では対策としてIP制限が挙げられていたが、「め、めんどくさいなあ……」が筆者の正直な気持ちだ。
今回の脆弱性の場合、もし自分がインストールしようとしている途中なら、勝手に wp-config.php が生成されているので、さすがに気付くだろう。この場合、あまり深刻な事態にはならなそうだ。
それよりも問題となるのは放置していたWordPressの場合だろう。「テスト用にアップロードしたけどそのまま忘れていた」というのはいかにもありそうな話だ。
もしあなたがホスティング会社の一員だったり、不特定多数の人がWordPressをインストールする団体(それがなんなのかはわからないが)だったりする場合は、1,000人に1人ぐらいはそうしたミスを犯す人がいるかもしれない。
それにしても、こうした抜け道を次から次へと思いつくなんて、本当に悪人は勤勉である。