WordPressとは

WordPressは、オープンソースのブログソフトウェアのことです。PHPで開発されており、データベース管理システムとしてMySQLを利用しています。単なるブログではなくコンテンツ管理システムとしてもしばしば利用されています。

WordPressのセキュリティ事故１

2021年、ある企業のWebサイトがWordPressの脆弱性を突かれて改ざんされた。当該Webサイトへアクセスすると、悪意のある外部サイトへ誘導される状態となっていた。

原因はWordPress本体のアップデート漏れにより、脆弱性が放置されていたことであった。同Webサイトのデータを保存しているレンタルサーバー側が、最新のWordPressに対応していなかったことで、CMS本体がアップデートされなかったことが主な要因だ。

サーバー内に機密情報、個人情報などは格納されておらず、情報漏えいは発生しなかったとされる。同社ではWordPressを最新の状態に保つことと、WAF（Web Application Firewall）を導入するという運用方針を示した。

WordPressのセキュリティ事故２

2017年、女性向けファッション事業を手掛ける企業のWebサイトが不正アクセスを受けた。

原因はWebサイト制作のテスト環境にインストールしたWordPressと、そのプラグインの脆弱性を突かれたことだった。

テスト環境内のWordPressとプラグインをアップデートせず放置していたとされる。改ざんによりメール送信機能を悪用され、大量のスパムメール送信の踏み台にされてしまった。

WordPressのセキュリティ事故３

2018年、国内官公庁が管轄するWebサイトが改ざんされ、悪意のある外部サイトに誘導される状態となっていた。Webサイトにはフィッシングサイトなど、ほかの正規Webサイトから盗用したと思われる偽のページが複数掲載されていた。原因は放置されたWordPressの古いプラグインの脆弱性にあったと推測されている。

WordPressのセキュリティ対策

● プラグインやテーマも含めたバージョン管理

● 定期的なバックアップの取得

● アカウント情報の適切な管理

● セキュリティ用プラグインの導入