多くの企業が使っているWordPress。
今回、WordPressのプラグイン、AMP for WPに新たな脆弱性が発覚し攻撃されました。
手遅れになる前に、最新版へアップデートをして対策しましょう。
狙われたWordPressの脆弱性は。
今回問題が報告されたのは、WordPressのプラグイン、「AMP for WP(Accelerated Mobile Pages)」の脆弱性。
これにより、悪意のある第三者が管理者権限のあるアカウントを追加して、ウェブサイトを改ざんするなどのハッキング行為が可能になるとのこと。
脆弱性は、AMP for WPのバージョン0.9.97.19以前で確認されています。
AMP for WPをお使いの場合は、すぐに最新バージョン(2018年12月10日時点での最新バージョンは「0.9.97.22」)にアップデートしてください。
今回はより高度な攻撃を組み込んでいるという。
ハッカーは、AMP for WPのXSS(クロスサイトスクリプティング)に対する脆弱性を利用して攻撃を行います。
まず、AMP for WPプラグインを使って脆弱なサイトを探し、XSSの脆弱性を利用してサイト内に不正コードを埋め込みます。
この不正コードは、ログイン中の管理者のセッションを利用して不正なユーザーアカウントを作成するもので、「supportuuser」という名前の不正アカウントが報告されています。
また、別のプラグインにバックドアコードを挿入することも確認されており、上記の不正アカウント「supportuuser」を削除しても任意のPHPコードを実行できるようになっているため注意が必要です。
そもそもAMPって?導入するメリットは。
AMPとは、Accelerated Mobile Pages(高速化されたモバイルページ)のこと。
一般的にスマホやタブレットはパソコンに比べて表示速度が遅いのですが、AMPフレームワークを利用してウェブサイトを作ることによって表示速度が高速化されます。
AMPはGoogleが始めたプロジェクトの一つです。シンプルなウェブ表示にはなりますが、ウェブサイトの表示が遅いことによってアクセスユーザーが途中で離脱してしまうのを防いだり、ユーザビリティの向上といったメリットがあります。
まとめ
WordPressを便利にするプラグインですが、アップデートを放置していると、セキュリティ上の重大な問題に発展する可能性も。
常にプラグインは最新の状態にしておくことが大切ですね。
プラグインの脆弱性に関しては、各サーバー会社も注意喚起をしているので、メールやお知らせをマメにチェックした方がよさそうです。
こちらの記事もおすすめ
GoogleのSNS「Google+」の情報漏えいリスクは隠蔽されていた