2018年9月5日

WordPress、追加機能の脆弱性による改竄被害



ウェブサイトのコンテンツ管理システム「WordPress」で、一部のテーマやプラグインといった追加機能に脆弱性があり、多数の改竄被害が出ています。

攻撃を確認したSucuriによれば、「WordPress」向けに提供されているテーマ「tagDiv」の2年前に修正された脆弱性や、プラグイン「Ultimate Member」であらたに明らかとなった脆弱性を悪用してサイトを改ざんし、外部サイトへリダイレクトさせる攻撃が、8月以降多数検知されているという。
(中略)
同社が確認したところ最初に確認されたスクリプトは1700件以上、1週間後に追加されたスクリプトも500件以上のサイトに埋め込まれていた。
Security NEXTより引用)
WordPressはコンテンツ管理システムとしてメジャーでユーザも多く、今回問題となっている Ultimate Member プラグインも10万件以上のサイトで使用され人気があるため被害が拡大していると思われます。また、この攻撃では同じサーバ内で感染を広げる仕組みがあることにも気をつける必要があります。

今回の攻撃では、脆弱なテーマやプラグインを利用していないサイトであっても、間接的に影響が及ぶ可能性もあり、注意が必要だ。
脆弱性を悪用して挿入されるコードには、同じサーバ内に存在する書き込み可能なファイルを検索して感染を拡大する機能を搭載。
ファイルのユーザー権限に依存するが、侵害されたサイトと同じ管理者のサイトなど、脆弱なテーマやプラグインはもちろん、「WordPress」を導入していない環境であっても、改ざんされるおそれがある。
Security NEXTより引用)
サイトの改竄被害は、信頼性はもちろん、経営にも打撃を与える問題です。
サーバのシステムの脆弱性に対しては、普段からシステムベンダーとの連絡や情報共有を進め、いざという時に備える構えが必要です。

《参考URL》


株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。



第6回 IT経営フォーラム2018 in 焼津

これからの経営のあり方を考える経営セミナーと展示会

■セミナー概要
第1講座 13:00~14:00
「AI時代を生き抜く! 自動化経営7つのポイント」
株式会社船井総合研究所
上席コンサルタント 斉藤 芳宜 氏

第2講座 14:20~15:10
「電子地域通貨さるぼぼコインで地方を変える!」
飛騨信用組合
専務理事 黒木 正人 氏

第3講座 15:30~16:20
「少ないデータで学習しドンドン賢くなる! 学習型汎用人工脳のビジネス活用」
SOINN株式会社
代表取締役CEO 長谷川 修 氏

特別講演 16:30~17:30
「迫りくるデジタルシフトの波に日本企業はどう立ち向かうか」
株式会社デジタルシフトウェーブ 代表取締役社長
元株式会社セブン&アイHLDGS. 執行役員CIO
鈴木 康弘 氏

■展示会概要
今、活用したい! これからの経営に役立つ商品・サービスの出展!



0 件のコメント:

コメントを投稿