SiteGuard WP PluginというWordPress向けセキュリティプラグインもリリースしているJP-SecureはGMOグループなどと連携し、「ウェブサイトを取り巻く脅威と対策」を公開した。PDFでリリースされており、メールアドレスを登録すれば誰でも無料で入手できる。ダウンロードはこちらから。
レポートの概要
「ウェイブサイトを取り巻く」と銘打たれているが、紙幅の大部分がWordPressに関するものだ。
攻撃の検出傾向(全体)46,883,944 件について、WordPress に対する攻撃を対象に集計すると、明ら かに WordPress を対象にした検出、またはその可能性が高い検出が 15,031,521 件ありました。 本レポートの集計対象のサービスでは、広く WordPress が有効活用されています。(前掲書)
これはWordPressがWebの29%を占めているという説に合致する。40万件以上のサイトを対象にした統計データにもなかなかお目にかかれるものではないので、WordPressでサイトを作成している人、とくに顧客に向けてWordPressサイトを提供している人は必ず目を通してほしい。
筆者が気になったトピックは次の通り。
- WordPressコアはそれなりに堅牢で、脆弱性が多いのはテーマ・プラグインとなっていたが、いまはプラグインの脆弱性が多い。
- 一番狙われるのは wp-login.php ではない。これは多くの人が勘違いしているのだが、 xmlrpc.php, プラグイン, テーマ, admin-ajax.php への攻撃が80%以上を占めている。特にxmlrpc.phpは38%と最多。Jetpack以外でこれを使っているサイトがあるのだろうか……
- 攻撃の多くは自動化されており、既知の脆弱性をリスト化している。10件のありふれた攻撃を10,000件のサイトに行えば、1つぐらいのっとれるかもしれない——それが悪人の考え方である。なぜオレオレ詐欺や出会い系スパムメールと同じロジックだ。
- 危険なプラグインを踏まないためには実績を重視する必要があるのだが、YoastやbbPressのような有名プラグインでも脆弱性は出ている。最新情報のキャッチアップを(※筆者の私見だが、Yoastは情報公開をしているので脆弱性が報じられるのだが、無名のひどいプラグインは脆弱性を悪用されても誰も気づいていない可能性がある)
わずか20Pの短いペーパーなので、ぜひご一読を。
おまけ:調査発表をする会社は存在感がある?
こうした調査報告資料は「ホワイトペーパー」としてIT業界では一般的な形式になっている。元の意味は「白書」、つまり公的な機関が発表する報告書であるが、実際は自社の技術力や調査力を世に知らしめるためのパブリケーションである。
WordPress業界でもこうした「ホワイトペーパー」を発表している会社がいくつかある。
- Fueling business results with the WordPress REST API(WP Engine) PDF
- Sucuri Reports(Sucuri)
- Ready for Gutenberg?(Human Made)
こうした会社に共通するのは、ある程度業界において確固たる地位を築いているということだ。日本国内でもホワイトペーパーを発表できるぐらい知見がある方は、どんどん発表をしていくと存在感が高まっていいのではないだろうか。
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
価格¥400
順位207,216位
著徳丸 浩
発行SBクリエイティブ
発売日2011年3月1日
徳丸浩さんもこのレポートを監修されている