データベース接続確立前に放置したインストール前のWordPressの危険性とハッキング手法

2019/1/3 ウェブ開発

みなさん、こんにちは!

ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。

このサイトでは、ITについて特化したサイトを運営しています。

今回は、サーバーにWordPressをアップロードし、インストールせずに放置しているWordPressに潜むセキュリティリスク、危険性について説明します。

新サイトを立ち上げるときに、とりあえずWordPressを設置しておいて、データベースとの接続は後で・・・という考えは非常に危険です。

スポンサーリンク

インストールせず放置しているWordPressはありませんか?

新しいWordPressサイトを作ろう!

とりあえずWordPressをサーバーに設置した!

データベースとの接続確立をしないといけない・・・!

まぁいいや、明日やろう!

なんて考えたことはありませんか?

これ、すっごい危険です。

この状態では非常に簡単にハッキングできてしまい、IDやパスワードの情報を抜き取られる危険性があります。

データベースとの接続確立を行わず放置しているWordPressサイトがあれば、今すぐにでも削除したほうがいいでしょう。

WordPressの構造上の弱点

WordPressの基本的な構造としては、ウェブサーバー上のWordPressシステムが、紐づけられたデータベースとデーターのやり取りを行うことで動作しています。

イメージとしては、下の図のような動作です。

しかし、インストールを完了していないWordPressとは、データベースサーバーとの紐づけができていない、宙に浮いた状態となります。

ここで、攻撃者は、悪意あるデータベースとの紐づけを行うことで、機密情報の抜き取りを試みます。

これが、放置しているWordPressのセキュリティ面での危険性です。

放置されたWordPressへのアタック手法

では、放置されたWordPressサイトへのアタック方法を解説しましょう。

5分間インストールを悪用する

放置されたWordPressへのアタックには、5分間インストールを悪用します。

5分間インストールを行うときに、サイトにアクセスすれば自動で5分間インストールの画面にリダイレクトされることは以前に説明しました。

WordPressの5分間インストールとは?

ここで、リダイレクトされるのは、ウェブマスターであるあなただけではありません。

世界中のだれもが、5分間インストールの画面にアクセス可能です。

これは、FTP接続を行わなくても、wp-config.phpというWordPressの重要ファイルに操作を加えることができる状態です。

つまり、データベースの情報に不正なデーターを入力し、悪意あるデータベースと接続されたら、ドメイン名も汚れるし、どんな意図せぬ動作をするかわかりません。

重要なID、パスワードを抜き取る方法

次に、重要なID、パスワードを抜き取る方法を解説します。

ここでは、心理戦になる部分です。

あるときに思い出しました。

「あの時インストールしたWordPressの設定をしよう!」と。

5分間インストールを行おうとしたら、WordPress自体は悪意あるデータベースと接続が完了しており、普通にサイトが表示されています。

「あぁ、あの時にデータベースとの接続まで行ったのか・・・」

ここで、普通なら次に、WordPressへのログインを行いますよね?

ログイン画面にアクセスします。

しかし、ID、パスワードが正しくないのでログインできません。

この時、人間は心理的に日常的に使用しているIDやパスワードを入力してしまいます。

これが悪意あるデータベースに蓄積されれば、あなたの重要なIDやパスワードの情報が漏れてしまいます。

Yahoo!やGoogleのアカウント、サーバー会社のアカウント、ドメイン会社のアカウント。

これらにヒットすれば、かなり悲惨です。

メール内の個人情報はすべて読まれるし、サーバーデーターの不正な操作、ドメインの乗っ取りが考えられます。

さらに、クレジットカードの情報が漏れれば悲惨なことは想像できるでしょう。

人の心理を突いた巧妙なハッキング手法なので、覚えておいて損はないです。

データベースと接続確立していれば一応安全

データベースと接続確立が行われているWordPressであれば、インストール画面は表示されないので一応は安全です。

しかし、放置されたWordPressでは、最新のWordPressが利用されていなかったり、プラグインやテーマが更新されていなかったりした場合、脆弱性を狙われるセキュリティリスクが潜んでいます。

運用せずに放置しているWordPressがあれば、ログインして最新のバージョンにアップグレードすることをおすすめします。

また、全く使う気のないWordPressサイトであれば、一応削除するなどの対応を行ったほうが無難でしょう。

同じサーバー内の他サイトを守ることにも役立つでしょう。

放置しているWordPressの危険性のまとめ

ここまで、放置しているWordPressに潜む危険性について解説しました。

データベースとの接続確立が行われていないWordPressであれば、誰でもインストール画面に到達することができます。

これは非常に危険なことであり、需要なID、パスワードの漏洩にもつながります。

まったく使ったことのないWordPressがサーバー内に残っている場合には、削除したほうがいいでしょう。

その他、WordPressは、定期的な更新によってセキュリティリスクを低減しています。

WordPressを放置することは、セキュリティの甘さを露呈するものであり、好ましいことではありません。

放置状態のWordPressサイトがあれば、一度ログインし、WordPress本体、プラグイン、テーマを、すべて最新のものに変更してください。

以上、WordPressのセキュリティについて、参考になれば幸いです。