WordPress: 脆弱性を狙った攻撃で150万件超の改ざん被害が発生、対策は?

WordPress: 脆弱性を狙った攻撃で150万件超の改ざん被害が発生、対策は?
写真: Unsplash

WordPress4.7.0と4.7.1で見つかったREST APIの脆弱性を狙った攻撃が増えています。

アメリカのセキュリティ会社、Feeditによると、2月6日の時点で改ざんされたページ数は6万6000ページでしたが、2月9日には150万ページを超えたと報告しています。

20あまりのハッキング集団が攻撃を行っているとのことで、わずか数日で改ざん被害が拡大していることが分かります。

ハッキンググループごとの改ざんページ数

ハッキング集団と改ざんページ数
出典: A Feeding Frenzy to Deface WordPress Sites

実際には、Feeditが確認していない被害も数多くあると思われます。

今回の脆弱性はWordPress4.7.2で修正されているので、WordPressをアップグレードすれば、とりあえずは大丈夫です。

しかし、今後も同様の事態が発生する可能性はあります。

REST APIは攻撃を受けやすい部分です。この機能を利用していないならば、無効にしておくことで、リスクを抑えることができます。

REST APIはデフォルトで有効になっています。無効にするためには、以下のコードをfunctions.phpに追加します。

function my_limit_rest_init() {
 // Remove the REST API endpoint.
 remove_action( 'rest_api_init', 'create_initial_rest_routes', 99);
}
add_action( 'init', 'my_limit_rest_init', 9999 );

参考: WordPress4.7より追加されたREST API エンドポイントを無効にする | サイトスパイラル(Sitespiral) – 沖縄で ホームページ制作 / WordPressのことなら

プラグインによってはREST APIを使用していることもあるので、動作がおかしくなる場合は、確認してみましょう。

WordPressのセキュリティ強化については、こちらの記事も参考にしてください。