ホームページ制作会社に依頼したところ、WordPressで構築されたホームページが納品され、そのまま放置されていませんか?
日本国内においても利用ユーザ数が非常に多いWordPress。
そのため、情報を入手しやすく、何か困ったことが起こってもネットで検索すれば大抵の事は解決できてしまいます。
また、プラグインの種類も非常に豊富で、利用ユーザは特にプログラミングの知識が無くとも、WordPressで構築した自分のホームページに様々な機能を追加することができるのも魅力の一つです。
たとえば↓の画像(わぷー(Wapuu))をクリックしてみてください。フワッとポップアップされると思います。
これは”FancyBox for WordPress”というプラグインをインストールすれば簡単に実装できてしまいます。
「わぷー(Wapuu)」は、ja.wordpress.org の公式キャラクターです。
そんな、魅力的なWordPressですが、利用ユーザ数が多いということもあり、不正なアクセスを試みる輩も居ることを意識する必要があります。
今回は面白い(?)不正アクセスを試みたサンプルが取れましたので、公開します。
【脆弱性を持つ可能性があるプラグインへのアクセス】
~~~/wp-content/plugins/global-flash-galleries/swfupload.php
~~~/wp-content/plugins/wp-mailinglist/vendors/uploadify/upload.php
~~~/wp-content/plugins/ckeditor-for-wordpress/includes/upload.php
~~~/wp-content/plugins/lazy-seo/lazyseo.php
~~~/wp-content/plugins/wp-e-commerce/wpsc-admin/display-sales-logs.php
~~~/wp-content/plugins/advanced-custom-fields/core/actions/export.php
~~~/wp-content/plugins/page-flip-image-gallery/upload.php
~~~/wp-content/plugins/complete-gallery-manager/frames/upload-images.php
~~~/wp-content/plugins/font-uploader/font-upload.php
~~~/wp-content/plugins/gallery-plugin/upload/php.php
~~~/wp-content/plugins/wpstorecart/php/upload.php
~~~/wp-content/plugins/radykal-fancy-gallery/admin/image-upload.php
~~~/wp-content/plugins/easy-comment-uploads/upload-form.php
~~~/wp-content/plugins/very-simple-post-images/uploadify/uploadify.php
~~~/wp-content/plugins/uploadify/includes/process_upload.php
~~~/wp-content/plugins/uploader/uploadify.php
~~~/wp-content/plugins/wpmarketplace/uploadify/uploadify.php
~~~/wp-content/plugins/wp-symposium/uploadify/uploadify.php
~~~/wp-content/plugins/wp-property/third-party/uploadify/uploadify.php
~~~/wp-content/plugins/wp-crm/third-party/uploadify/uploadify.php
~~~/wp-content/plugins/pods/js/uploadify.php
~~~/wp-content/plugins/mm-forms-community/includes/doajaxfileupload.php
~~~/wp-content/plugins/image-symlinks/uploadify/uploadify.php
~~~/wp-content/plugins/html5avmanager/lib/uploadify/custom.php
~~~/wp-content/plugins/foxypress/uploadify/uploadify.php
~~~/wp-content/plugins/doptg/libraries/php/uploadify.php
~~~/wp-content/plugins/comments_plugin/uploadify/uploadify.php
~~~/wp-content/plugins/bulletproof-security/admin/uploadify/uploadify.php
~~~/wp-content/plugins/ajax_multi_upload/upload.php
~~~/wp-content/plugins/1-flash-gallery/upload.php
~~~/wp-content/plugins/contact-form-7/wp-contact-form-7.php
当社で管理するホームページに2014年3月6日 日本時間の午前0時頃に一気に来ました。
その殆どがアップロード系のプラグインの存在確認です。
おそらく、上記のプラグインが存在した場合、脆弱性(セキュリティの不備)をついて、マルウェアやXSSが仕込まれたりするのではないか?と推測します。
上記のプラグインのみならず、原則としては、常に最新版のプラグインを利用することを心掛けなくてはいけません。