記事公開日

WordPressのプラグインを使うな

基本的にWordPressはプラグインを使わずに使用するのがオススメです。

特にみんなが使っている有名なプラグインは狙われやすいです。

一つ脆弱性を見つけるだけで、たくさんのWordpressを乗っ取ることができるからです。

とはいえ、絶対に必要なプラグインもあるでしょう。

もしプラグインを使用する際は、こまめなメンテナンスを欠かさないようにしてください。

  • プラグインのアップデートが出ていないか?頻繁に確認する
  • もし最新のWordPress本体に対応しなくなったときは、すぐに他のプラグインに差し替える

以上を守るだけで、ハッキング攻撃を受ける可能性はグーンと低くなります。

実は、WordPress本体やブラウザによって、できるかぎりのハッキング対策は施されています。

ところがプラグインによって、自らセキュリティーホールを生み出してしまっている場合があるのです。

代表的な例でいうと、「All in One SEO Pack」という名のプラグイン。

手軽にSEO対策ができることから、多くのユーザーに利用されていました。

ところが、2020年に大きな脆弱性が発覚。

XSS(クロスサイトスクリプティング)の被害を受ける可能性があるとの内容でした。

XSSは、脆弱性のあるWEBサイトに他のサイトへ転送するプログラムを埋めこむ手法です。

転送されたサイトでは、個人情報を盗み出したり、ウィルスに感染させるプログラムが仕込まれています。

いくら脆弱性があると言っても、WordPress自体のセキュリティやサーバーが管理しているセキュリティにより、直接悪意のあるプログラムを埋め込むことはできません。

よって、この「他サイトへ転送する」という手法が取られているのだと思います。

「All in One SEO Pack」の脆弱性は、権限の低いログインユーザーでも、ある条件の下であれば、悪意あるプログラムを実行できるとの事でした。

オールインワンSEOパックの脆弱性の影響を受ける200万人のユーザー

もしも、「WordPress」+「All in One SEO Pack」で会員がトピックを作成できるようなサイトを運営していたとしたら?

「WEB上から登録した一般会員でも、悪意あるプログラムを埋め込むことができる」という恐ろしい事態です。

管理者がログインしているとき、何かボタンを押す。

すると管理者の意図とは関係なく、色々なコマンドが実行される。

そんなプログラムが一般会員として登録した悪意ある人間の手によって埋め込まれたとしたら?

詐欺サイトへ転送したり、サイトに登録している会員の個人情報を公開したり、やりたい放題です。

WordPressは初心者の方・技術に乏しい方でも使いやすい便利なツールです。

しかし、知識不足によって思わぬトラブルを引き起こしてしまう場合もあるので、安易な使用はおすすめできません。

この記事のURLをコピー

メールアドレスは公開されませんのでご安心ください。また、* が付いている欄は必須項目となります。

内容に問題なければ、下記の「コメントを送信する」ボタンを押してください。

関連情報


運営者プロフィール
Kodama-Works BLOG運営者のプロフィール画像
児玉 和基

宮崎市在住、フリーのITエンジニアです。ウェブサイト制作がメイン業務。当ブログのテーマは自作したものです。

カテゴリー