WordPressサーバにマルウェアが仕込まれた経緯について
前回の記事「WordPressに仕込まれたマルウェアのコードが恐ろしすぎた」ですが、予想を遥かに越えて反響が大きくて、正直ビックリしているところです。
この記事を読んだ方からのお問い合わせが何件かあったのですが、その中に「マルウェアが仕込まれた経緯を教えて欲しい」というものがあったので、ここに書いてみることにします。
十分なログが取られていなかったため、最終的な結論までは出せなかったのですが、以下の順番で可能性が高いと考えてます。
1. 脆弱なパスワードが使われているユーザが存在した
2. WordPress本体またはプラグインの脆弱性を突かれた
3. WordPress本体またはプラグインにマルウェアが仕込まれていた
1.ですが、「おそらく脆弱なパスワードが使われているであろうユーザ(リテラシーの低いユーザ)」が存在したこと、および、wp-login.php へのアクセスログが大量に残っていたことから、一番可能性が高いと考えてます。
2.ですが、WordPress本体もプラグインもその時点で最新のものになっていたため、可能性としては低いと考えてます。もちろん、未知の脆弱性が突かれた可能性は否定は出来ませんが。
3.ですが、インシデントがあったのは2週間以上前であることと、その間にWordPress本体またはプラグインにマルウェアが仕込まれていたという情報はないことから、これも可能性としては低いと考えてます。
## 対策
簡単に出来る対策としては、以下のようなものがあるでしょう。
1. 管理画面にアクセス出来るIPアドレスを制限する
2. 管理画面に別途Basic認証、Digest認証を設定する
1.は、アクセス出来るIPアドレスが決まっているのであれば有効でしょう。逆に、固定IPがない、出先でモバイル経由で管理画面にアクセスする必要がある、などといった場合には導入し辛い対策になります。
また、Login Security Solutionプラグインを導入し、WordPressアカウントのパスワードをあらかじめ設定した以上の長さにするように強制したりするのも有効です。
WordPressのセキュリティ対策については、今後少しずつ書いて行きたいと思います。