- 2015年10月23日
- 事故レポ
事故レポファイル第四回 WordPressが乗っ取られた!ほぉぉぉぉぉぉ!
今回は、いま世界中、数十億サイトで使われている、CMSの話。WordPressやMovableTypeには、気をつけなはれや…
事故の概要
あるメディアの、公開前テストサイトの乗っ取り。公開前のサーバーだからとBasic認証のIDパスワード、CMSのIDパスワードの強度が弱く、狙われた。
被害総額
サーバーの立て直し、サイトのバックアップからの復旧に2日間。+人件費。サイトの調査費用×3回分。
事故発覚の経緯
診断会社に診断の申し込みがあった。ある大手メディア会社が新しくメディアを立ち上げるという。テストサイトで公開まえ。Basic認証だけはかかっているといういつもの状態だ。
そのサイトを見たところ…乗っ取られとるやんけ!サイトのバナーがバイアグラと、クネクネのアダルティな画像に。 我々がちょうど診断するタイミング、タイムリーに乗っ取りを発見した。
初動対応
幸い、編集権限しか乗っ取られていなかったので、被害は特定のページのみ。だが、大事を取りサーバを潰しOSのインストールからすぐにやり直した。
これにより、2日間のロスが発生した。
原因と予防策
管理画面へのアクセスに、IP認証。 WordPressを最新版に。まずはそこから。
余談だが、特定のCMSなどのバージョンは意外と確認しやすい。
・Html上にあるgeneretorタグ
・/feed/
・requestheader
・利用中のjqueryのバージョンから
・利用中のcssにcmsバージョンが付記されているなど
などからも確認可能。
利用中のCMSやミドルウェアに脆弱性があって対策やアップデートせず古いバージョンのまま利用していれば、最悪はお漏らししちゃうかもね。
それだけでなく、
・サイトが更新されてない → そもそもwebに興味ない
・phpinfoが設置されたまま →システム管理がざるの可能性
・しかるべきページにSSLが導入されてない →情報保護に関心ない
・問合せフォームのエラーチェック(バリデーション)が適当 → やる気ない
・Responceheaderに色々と隠匿すべき情報が満載 → 管理されてない
この辺は、CMSの脆弱性として塞いでおくべき。
モリイコウジから一言
何も言うことあらへん。CMSはとにかく危ないんですわ。気をつけなはれや。