あなたのサイトは大丈夫ですか?「Pingback」機能が悪用されているかも?

わずか数時間で16万2000ものWebサイトが、1つのWebサイトに対して集中攻撃を仕掛けていたという記事がITmediaエンタープライズに掲載されていました。

あなたのサイトは大丈夫?

ITmediaエンタープライズの記事

WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用

WordPressを使っている一般ユーザーのブログが大規模なサービス妨害(DDoS)攻撃に加担させれられているのが見つかったとして、セキュリティ企業のSucuriが3月10日のブログで問題を指摘した。この攻撃ではブログにリンクが張られたことを通知する「Pingback」という機能が悪用されていたという。

 発端は、WordPressを使っている特定の人気サイトがDDoS攻撃を仕掛けられてダウンしたことだった。Sucuriが調べたところ、このWebサイトのサーバに対して毎秒数百件ものリクエストを送り付ける大規模攻撃が発生していたことが分かった。

この記事を読んでみるとWordPressの初期設定で有効になっているPingbackリクエストの機能が悪さをしているようで、悪用された場合にはXML-PRCファイルへのPOSTリクエストのログが残されているとの事。
Pingbackの機能はWordPressのみの機能ではないのでセキュリティ企業Sucuriのブログを確認したところ、どうやらWordPressだけではなく、Joomla、Drupal、vBulletin等のCMSも同様のようです。

Sucuriブログ

Understanding Denial of Service and Brute Force Attacks – WordPress, Joomla, Drupal, vBulletin

Sucuriのブログをデータを見てみるとユーザーIDでadminを使っているサイトがいまだに85%にも上っているという事。
サイトで使われているID分布

また、パスワードが簡単に想像できるものを使用しているという実態。
サイトで使われているパスワードの実態

サイトのセキュリティをアップさせるためにしておきたい事

このような事態にならないようにまずは運用方法を見直しましょう。

  • ●adminやroot,administrator等の一般的なIDの使用は行わない。
  • ●パスワードに簡単な数字の羅列やpassword等の想像しやすいパスワードは使用せず、記号等を入れた複雑なパスワードを設定する。
  • ●管理用のIDと投稿用のIDは別にしてコメント等の返信には権限を付けるようにする。
  • ●CMSがバージョンアップした時にサイトの更新を随時行う。
  • ハッキングに対する備えはしてますか?のページも参考にしてみて下さい。

基本的には運用で回避できると思いますが、それでも心配な場合にはセキュリティ用のプラグインを採用することも考慮に入れてはと思います。
ただ、私の考えですがセキュリティプラグインを入れることによってプラグインのセキュリティホール等も考えられるのでなるべく使わない方がベターかなとは思います。

最後に

セキュリティ関連は常にアンテナを貼っておく必要があります。サイト運営を行っている方は常日頃から情報を仕入れるようにしておきましょう。
また、今回はWordPressに限らず、他のCMSを使っている方にも参考にして頂ければと思っています。

  • Pocket
  • このエントリーをはてなブックマークに追加

コメントを残す




関連記事

無料テーマPrinciple限定でのOGP設定方法(コードあり)
Jetpackで自動に生成されるOGPタグを削除する方法
本当に必要?ワードプレスでのピンバック(PingBack)を止める方法
ウィルスやマルウェアから守るためにWindowsOSに必須のツール「EMET」
ワードプレスデータをMovable Type(MT)や無料ブログにインポート(移行)する方法
ワードプレスのテーマにOGP(Open Graph Protocol)を簡単に対応させる方法
OGPにおける記述方法の勘違いと修正方法(2015年春時点での最新情報?)
今更ながら、ワードプレスで行っておくべきセキュリティ対策6つ プラスα
MySQLデータベースを使用しないでワードプレスを構築する方法
bitnamiで作ったワードプレスのテスト環境を英語から日本語環境に変更する方法
初心者でも出来るPCにWordPress環境を簡単に構築する方法
ワードプレスサイトのセキュリティは大丈夫!?3つのポイントを押さえて万全に
htaccessファイルの作成方法-サイトのリダイレクトやアクセス制限にも使えます
ワードプレスとGoogle+を連携させるプラグイン「JetPack」の設定方法

Menu

HOME

 TOP