最も一般的なWPのセキュリティと脆弱性の問題
公開: 2022-06-07
あなたがウェブサイトを始めるためにCMSを探しているなら、WordPressはおそらくあなたの最善の策でしょう。 柔軟性があり、オープンソースで、セットアップが簡単です。 WPは、サイトの機能を最大化するためのプラグインとテーマも多数サポートしています。
WordPressを使用しているWebサイトが非常に多いため、WordPressは最も攻撃されたコンテンツ管理プラットフォームになりました。 新しいサイトを立ち上げるとすぐに、構成のずれやセキュリティの脆弱性をスキャンするボットに攻撃され始めます。
WordPress Coreは定期的に更新され、ハッキングが非常に困難ですが、サードパーティのコンポーネントは脆弱な場合があります。 VPNBrainsのセキュリティ専門家によると、テーマとプラグインはWPエコシステムの最も弱い部分です。 Cybercrooksはそれらを使用してWebサイトを乗っ取ります。
次の記事は、WPセキュリティに関連するいくつかの課題を反映しています。 これは、セキュリティの範囲を広げ、保護方法を再考するように促すことを目的としています。
「設定して忘れる」という原則に惑わされないでください
「設定して忘れる」という原則は、あなたを間違った方向に向ける可能性のある大きな誤解です。 多数の「万能」セキュリティプラグインは、瞬時に究極の保護を提供すると主張しています。 残念ながら、このマーケティングマントラは、多くの場合、一部のWebマスターを魅了します。
これらの製品は、誤った安心感を与える可能性がありますが、Webサイトハッキングの主な原因を取り除くことはできません。 このような製品は、事後対応型の保護アプローチに従い、主に主流のウイルスと脆弱性を検出します。 このアプローチは、既知の悪意のあるコードに対抗しますが、ゼロデイ脅威には役立ちません。
別の間違った仮定は、いくつかのセキュリティソリューションがサイトのセキュリティを強化できるという考えと関係があります。 今回は量と質は同じではありません。 さらに、そのような戦術は対立を引き起こします。 セキュリティプラグインは、重複する構成の微調整を実装し、Webサイトのパフォーマンスを低下させます。
ワンクリックのWordPressセキュリティソリューションや複数のサービスの組み合わせに依存するのではなく、プロアクティブな防御に焦点を当てた方がよいでしょう。 たとえば、Webアプリケーションファイアウォールを利用して、異常なトラフィックを監視し、ゼロデイ脆弱性を利用する攻撃から保護することができます。
ウイルスの標的となるWPサイト
WordPress Webサイトに悪意のあるコードを投稿するハッカーには、いくつかの理由があります。 彼らは機密性の高い財務データを盗んだり、スクリプトを挿入して広告を表示したり、暗号通貨をマイニングしたりしたいと思うかもしれません。
最近のいくつかのマルウェアの発生は、悪意のある人物が有害なペイロードを拡散するために、よく知られた正当なプラグインをいかにうまく再利用できるかを示しています。
多くの場合、時代遅れであるか、開発者によってサポートされていないか、または大雑把に作成されたテーマとプラグインがウイルスの主要なエントリポイントになります。 ここでの最善の推奨事項は、これらすべてのコンポーネントを定期的に更新することです。 新しいテーマまたはプラグインをインストールする前に、開発者の評判を確認することが重要です。 また、ユーザーのコメントやフィードバックを注意深く検討する必要があります。 積極的に使用していないプラグインをアンインストールします。
テーマを選択するときは、元のWordPressテーマディレクトリ、TemplateMonster、Themeforestなどの信頼できるプロバイダーを使用してください。 ウイルススキャンオプションでセキュリティプラグインを使用することは理にかなっていますが、それが万能薬であるとは考えないでください。
SQLインジェクションは依然として重大な問題です
SQLインジェクションはデータベースに焦点を合わせます。 特別なSQLコマンドを実行することにより、詐欺師はWPデータベース内のデータを表示、変更、または削除する可能性があります。 管理者権限を持つ新しいユーザーアカウントを作成し、さまざまな不正なアクティビティに使用できます。 多くの場合、SQLインジェクションは、連絡先フォームなど、ユーザー入力用に作成されたさまざまなフォームを介して実行されます。
SQLインジェクトを防ぐために、Webサイトでユーザー送信タイプを候補リストに入れることをお勧めします。 たとえば、特定のWebフォームに不要な特殊文字を含むリクエストをフィルタリングおよびブロックできます。
これらの攻撃の多くはボットによって実行されるため、入力プロセスに何らかの人間による検証(古き良きキャプチャなど)を追加することもお勧めします。
クロスサイトスクリプティングは深刻なセキュリティ問題につながります
XSS攻撃の主な目的は、訪問者のブラウザに悪意のあるコマンドを実行させるコードでWebサイトをなぞなぞすることです。 これらのスクリプトは信頼できるサイトからのものであるため、Chromeやその他のブラウザを使用すると、Cookieなどの機密情報にアクセスできます。
ハッカーはまた、この方法を利用してWebサイトの外観を変更し、フィッシングにつながる偽のリンクやフォームを埋め込みます。
もう1つのエクスプロイトベクトルには、起動にユーザーの操作を最小限に抑えるか、まったく必要としないドライブバイエクスプロイトが含まれます。
認証されていない攻撃者は、この形式の悪用を実行して、悪意のある者が攻撃を自動化および再現して、悪意のある目標を達成できるようにすることができます。
繰り返しになりますが、脆弱なテーマとプラグインは、クロスサイトスクリプティングの侵入のせいにされることがよくあります。 これらのコンポーネントを賢く選択し、定期的にパッチを適用してください。
弱い認証は絶対に避けてください
ハッカーはブルートフォース攻撃でサイトを継続的に攻撃します。 これらの攻撃では、一致するものを見つけるために何百万ものユーザー名とパスワードの組み合わせが使用されます。 最近では、適切なWPパスワードの衛生管理が非常に重要です。 デフォルトのユーザー名と弱いパスワードは、数時間以内にハッキングされる可能性があります。
パスワードマネージャーを使用して強力なパスワードを生成し、安全に保存します。 最近、多くの業界のWebサイトで多要素認証が義務付けられていることに注意してください。 MFAは、ブルートフォース攻撃を無駄にします。 同時に、誰かが携帯電話を利用している場合、MFAは失敗する可能性があります。 だから、あなたの携帯電話も安全に保つようにしてください。
また、攻撃者はサイトで使用されているサインインページを把握できることにも注意してください。 /wp-admin.phpまたは/wp-login.phpを使用することは賢明ではありません。 変更することを強くお勧めします。 また、失敗したログイン試行を制限するようにしてください。
WPWebサイトはDDoS攻撃に苦しんでいます
はい、それはWPのみの問題ではありません。 同時に、WPの支配を考えると、DDoSオペレーターは常にWordPressWebサイトに対する攻撃を仕掛けています。 このDDoS攻撃の原則は、大量のトラフィックでサーバーを氾濫させることです。 この方法では、ターゲットサイトをオフラインにしたり、正当なユーザーからのほとんどのリクエストにアクセスできなくなったりする可能性があります。
被害を最小限に抑えるために、WordPressサイトの所有者はDDoS緩和策を外部委託することができます。 Cloudflare、Sucuri、およびその他の優れたソリューションがここで役立つ場合があります。 優れたホスティングプロバイダーも支援できるはずです。
結論
絶え間ないウイルス除去への依存を排除し、状況認識を伴うプロアクティブなアプローチを使用するようにしてください。 プラグインとテーマを最新の状態に保ちます。 サードパーティのコンポーネントは、本当に必要な場合にのみインストールしてください。 WPセキュリティをプロセスと考えてください。