最近「最悪だ!!」と話題になったbash脆弱性「ShellShock」。サーバーを攻撃するのでWordPressもターゲットになります。@web_shufuはその方面にとても疎いのですが、脆弱性のチェックが簡単にできるプラグインがあったのでご紹介。
「ShellShock」とは何か?
「ShellShock」とは何か?と言っても@web_shufuのようなド素人には、定義を理解するのは難しいし、理解したところで対策が取れません。
そこで、「ShellShock」を放置することで予想される悪影響を拾ってみました。
「Shellshock」脆弱性、セキュリティ企業が事例など報告 – CNET Japanによると、既に以下のような深刻な攻撃パターンが複数確認されていています。
- マルウェアドロッパー
- バースシェルとバックドア
- データ抜き取り
- 分散型サービス拒否(DDoS)
マルウェアドロッパーは、多分、マルウェアの感染源のことだと思います。データ抜き取りは情報漏えいですね。ほかは見当すらつきません。
でも、どうやら、「ShellShock」は、放置して様子を見ればいいような類のものではない、ということはわかりました。
残念ながらWordPressも攻撃対象といえます。
Securityに関するオーソリティーブログSucuri Blogさんによると、
Almost every server in the Internet is vulnerable to it (every server has Bash).
全てのサーバーにbashがあるので、全てのサーバーがbash脆弱性「ShellShock」を持つ可能性があります。
つまり、対策しないと、自分のWordPressサイトから漏れてはいけない情報が漏えいしたり、マルウェアの感染源になる可能性があるらしいです。
「ShellShock」はWordPress自体の脆弱性ではありませんが、WordPressのセキュリティーのリスクを高めます。
脆弱性の存在を簡単に診断するShellshock Check プラグイン
とは言え、自分のWordPressを設置しているサーバーが、bash脆弱性「ShellShock」に対して対策を実施しているかどうかはすぐに分かります。
まず、管理画面から左サイドバー「プラグイン」⇒「新規追加」からプラグイン「Shellshock Check」を入れます。
次に、「設定」⇒「Shellshock」と進んで「Run test」ボタンを押すと診断スタートです。
数秒で診断結果が出ます。
私の場合は「Congratulations, the server is not vulnerable.」と出ました。
私が長年愛用するエックスサーバーは「Shellshock」に対応済みだということです。さすがです。
「not vulnerable」以外の答えが出たら、サーバー管理者に「ゴルァァー、いつになったらShellshock対応すんねん!!」と怒鳴り込まないといけません。
レンタルサーバー会社を信頼しすぎてはダメ
レンタルサーバー会社はプロなのですが、セュリティーホールを放置してハッカーたちに侵入を許してしまった会社もあります。
[img-link url=”https://webshufu.com/wordpress-krad-xin-hacked-many-japanese-sites/” title=”Krad XinによるロリポップWordpressサイト大量ハッキングまとめ|ウェブシュフ”]
レンタルサーバー会社にまかせっきりではダメみたいです。
@web_shufuなどは「分からないからレンサバ会社にまかせっきりにするしかない」と思いがちなのですが、それでもアンテナを張っていれば詳しい人が分かりやすい情報を流してくれます。
上記ロリポ事件ではそれがよくわかりました。
今回なんて、サーバーが脆弱かどうか分かるプラグインまで出してくれた人がいたわけです。
素人は素人なりに諦めず自衛の努力を続けたいと思います。