2024 年の WordPress セキュリティ脅威の状況: 主要な傾向と統計
公開: 2024-04-18WPScan は最近、WordPress サイトに対する 2023 年の脆弱性と脅威に関するレビューを発表しました。 この情報を入手すれば、サイト所有者も WordPress 専門家も同様に、2024 年をもう少し安全に乗り切ることができます。
専任のセキュリティ専門家が率いる WPScan は、WordPress エコシステムに対する脅威に関する主要なデータベースを維持しています。 業界のトッププロフェッショナルによって使用されている WPScan は、入手可能なリソースの中で最も完全なものとみなされています。 これまでに、WPScan とその貢献者は 49,000 件を超える脆弱性を特定、検証、分類してきました。
このデータベースは、Mercedes-Benz Group、WP Engine、Accenture、Kinsta などの企業組織によって使用されています。 また、Jetpack Protect または Jetpack Security プランで利用できる Jetpack Scan などの有名な WordPress セキュリティ ツールも強化します。
なぜこのレポートが存在するのでしょうか? データはどこから来たのでしょうか?
WPScan のチームは、WordPress セキュリティ ツール (Jetpack Security など) が効果的に脅威を防御し、コミュニティを保護できるように、WordPress エコシステムに対する脅威の特定、検証、インデックス作成に専念しています。
脅威を特定して理解することは、サイバーセキュリティ保護の第一歩です。
このレポートのデータは、WPScan によって公開され、セキュリティ研究者によって検証された脆弱性、および Jetpack Scan または Jetpack Protect を使用する 350,000 を超える Web サイトと Automattic サービスのサンプルから編集されたものです。
私たちは何を学んだのでしょうか?
レポート全文を読む時間がありませんか? 心配しないで。 重要なポイントをまとめてご紹介します。
XSS は大きな注目を集めていますが、SQL インジェクションの方がより蔓延している脅威です
クロスサイト スクリプティングは大きな注目を集めています。 これは、バグ報奨金ハンターやセキュリティ研究者によってよく報告されています (公開されたすべての脆弱性の 53%)。
しかし、最も一般的なタイプの脅威は、Jetpack ファイアウォールによる実際のブロックされた試行によって実証されているように、実際には SQL インジェクションです。 SQL インジェクションの脅威は、この種の脆弱性を悪用するために認証がほとんどまたはまったく必要ないため、特に深刻になる傾向があります。
WordPress のセキュリティに関して最も一般的な脅威は 2 つあります
このレポートは、脆弱なユーザー認証情報とヌル化されたプラグインが大部分の攻撃の入り口であるという、すでにわかっていることを裏付けています。
つまり、サイト管理者はソフトウェアを最新の状態に保ち、強力な認証を要求することで、ほとんどのセキュリティ問題を防ぐことができます。
20% 以上の脆弱性は認証を必要としませんでした
WPScan チームは脆弱性を調査し、影響を受けるコードを悪用するために必要な認証レベルを決定します。 すべての脆弱性の約 3 分の 1 は管理者アカウントへのアクセスが必要ですが (悪用のリスクが軽減されます)、開示された脆弱性の 22% は認証がまったく必要ないか、加入者レベルのアカウントのみが必要です。
マルウェア攻撃は依然として蔓延している
Jetpack Scan (WPScan データベースを利用) は、少なくとも 1 つの悪意のあるファイルを含む 70,000 という驚異的なサイトを特定しました。 ほとんどの原因は、(ご想像のとおり) 漏洩/脆弱な資格情報、またはヌル化されたソフトウェアのいずれかに遡ることができます。
75% (600,000 個の悪意のあるファイル) は一般的なマルウェアであると判明しました。
既存のツールは機能している
Jetpack ファイアウォールは、重大度の高い脆弱性を伴う 700 万を超えるリクエストをブロックし、危険にさらされているサイトに対する無数の XSS 攻撃を防止しました。
報告書には次のように述べられています。
Jetpack ファイアウォールは、 Jetpack セキュリティ スイートに最近追加されたものですが、サイクルの早い段階で潜在的な攻撃をブロックし、攻撃者が保護されたサイトに足がかりを築くのを防ぐことでその価値を証明しています。
Jetpack ファイアウォールは、SQL インジェクションとパス トラバーサル攻撃をそれぞれ50 万件以上ブロックしました。
サイバーセキュリティと WordPress の専門家は次に何をすべきでしょうか?
何を探すべきかが分からなければ、攻撃を防ぐことはできません。 WPScan は、検証された脅威の最も堅牢な最新のライブラリを提供します。 開発者やサイバーセキュリティ専門家は、API を通じてこれを社内プログラムに組み込んで防御を強化できます。
Web セキュリティ チームは、侵入テストの一環として WPScan の CLI スキャナーを使用することもできます。 これにより、ハッカーが認証なしでサイトについて閲覧できる可能性のある情報を外部から見ることができます。
開発者と企業組織は、すぐに WPScan に問い合わせて、それが自社の業務に最適なツールであるかどうかを確認する必要があります。
WordPress サイト所有者は次に何をすべきでしょうか?
WPScan による WordPress セキュリティ エコシステムの評価は、脅威が存続していることを示しています。 幸いなことに、最も蔓延しているものはかなり簡単に阻止できるということです。 WordPress サイト所有者は、Jetpack Protect を通じて WPScan データベースを利用し、Jetpack Security を使用した予防および回復ツールの完全なスイートにアクセスできます。
強力な認証を強制する
脆弱なパスワードは、サイバーセキュリティにおいて最も一般的な弱点であるだけでなく、修正が最も簡単な弱点の 1 つです。 ユーザーに強力なパスワードを要求し、数字、文字、特殊文字の組み合わせの使用、サイトごとに固有の認証情報の使用、パスワードの定期的な更新などのパスワードのベスト プラクティスについてチームに教育できます。
特に管理者レベルのアカウントでは、2 要素認証を要求することもできます。
適切なユーザー役割を割り当て、最小特権の原則に従います。
WordPress ユーザーロールは、個人の責任分野に基づいて特定の機能へのアクセスを許可できるため、強力です。 割り当てられる高レベルの役割の数を制限すると、アクセス ポイントの数が減り、パスワードと安全な認証に関する教育と説明責任が強化されます。
最小特権の原則として知られるように、ユーザーは、必要な職務に必要な最低のロールにのみアクセスできるようにする必要があります。
コア、テーマ、プラグインを最新の状態に保つ
脆弱なパスワードと同様に、古いソフトウェアは攻撃成功の最も一般的なルートです。 サイトでは、WordPress コア、テーマ、およびインストールされているプラグインの最新バージョンを使用する必要があります。
脆弱性が発見されると、評判の良いプラグイン開発者がそれらにパッチを適用するアップデートをリリースします。 これらの更新を無視すると、サイトが危険にさらされたままになります。
WordPress セキュリティプラグインをインストールする
最も完全な保護を実現するには、サイト所有者は、強力なパスワード、最新のソフトウェア、適切なユーザー役割の割り当てをさらに一歩進める必要があります。 ベテランの WordPress プロフェッショナルは、適切な WordPress セキュリティ プラグインが侵入を防ぎ、侵入された場合の回復オプションを提供することを知っています。
複雑さを最小限に抑えた包括的な保護が必要な場合、Jetpack Security が必要なソリューションです。 含まれるもののほんの一部を次に示します。
- ダウンタイムの監視。 サイトに問題があることがすぐにわかるので、すぐに対処できます。
- Web サイトのファイアウォール。 WPScan のレポートでは、Jetpack のファイアウォールによって阻止された攻撃について繰り返し言及されています。 Jetpack Security を使用してアクセスします。
- リアルタイムのマルウェア スキャンとワンクリック修正。 WPScan の完全なデータベースにアクセスし、サイトを継続的にスキャンしてマルウェアや脆弱性を探します。 さらに良いことに、ほとんどの問題に対するワンクリックの解決策も得られます。
完全なセキュリティ プラグインは必要ありませんが、脆弱性とマルウェア スキャンのために WPScan のデータベースにアクセスしたいですか? これらの機能は、スタンドアロン プラグインJetpack Protectでも利用できます。
- リアルタイムバックアップ。 攻撃者が侵入した場合に備えて、回復方法も必要であることに注意してください。 Jetpack VaultPress Backup はサイト上のすべてを保存し、すべてのアクティビティを記録します。 正確な時点に復元し、ログを確認してトラブルシューティングを行い、今後の問題を防止します。 サイトが完全にダウンしている場合でも、モバイル デバイスからバックアップにアクセスして復元できます。
- スパム保護。 不要で無関係なコメントやフォームの送信は迷惑であるだけでなく、あなたとあなたの訪問者にとって危険です。 Jetpack Security には Akismet Anti-spam が付属しているため、訪問者に煩わしい CAPTCHA の完了を強制することなく、99% のスパムを防ぐことができます。
- ブルートフォース攻撃からの保護。 ブルート フォース攻撃は、WordPress の非常に一般的な脅威です。 Jetpack Security を使用して簡単に停止することもできます。
Jetpack と WPScan: より安全な WordPress のために連携する
WPScan のチームは、WordPress の脆弱性に関する最も正確なデータベースを維持するためにたゆまぬ努力をしています。 WordPress の専門家や企業組織は、WPScan ツールと統合して、最も高度な保護を実現できます。
WordPress サイト所有者は、他のセキュリティ ツールとともに Jetpack Security を通じてこれと同じ情報にアクセスします。 このセキュリティ プラグインは、最小限の手間と継続的な努力で簡単に動作します。 あなたのサイトは単に保護されています。
Jetpack セキュリティについて詳しくは、こちらをご覧ください。
WPScan について詳しくは、こちらをご覧ください。