「WordPress」における不用意な露出に注意 - 攻撃の糸口となることも
コンテンツマネジメントシステム(CMS)の「WordPress」で作成された中小企業サイトの6割超において、ユーザーリストが公開されており、さらにログイン画面へアクセスできる状態となっていることがわかった。
大阪商工会議所と立命館大学が共同で2023年10月3日から11月10日にかけてアンケート形式により調査を実施したもの。大阪を中心に22都道府県の企業や団体など111組織が運営する「WordPress」で構築されたウェブサイト192件について、「WordPress」のバージョン、ユーザーリストやログイン画面の露出、プラグインの利用状況などを調べた。
サイト上から稼働する「WordPress」のバージョンを確認でき、最新バージョンを使用していなかったケースは6%。また78%において、管理者をはじめとするユーザーリストを外部より確認することができたほか、77%でログイン画面にアクセスできたという。
ユーザーリストとログイン画面の双方が露出しているサイトは66%にのぼる。使い回されたパスワードが何らかの理由で外部へ流出したり、容易に推測できるパスワードなどを用いていた場合、不正アクセスを受けるリスクが高まる。
また過去に脆弱性が公開されたことがあるプラグインを93%のサイトで利用していた。ただし、同調査ではプラグインのバージョン、脆弱性の有無については確認していないため、脆弱性が修正された最新版へアップデートなど適切に実施されていれば必ずしも危険であるとは限らない。
(Security NEXT - 2024/02/09 )
ツイート
PR
関連記事
「映像のまち・かわさき」関連サイトで障害 - 攻撃受けた可能性
行政文書の個人情報、墨塗りせず交付 - 神奈川県
患者情報含むUSBメモリを一時紛失 - 関西医科大病院
予約管理システムが侵害、個人情報が流出 - アソビュー
県立高でサポート詐欺被害、端末内部に個人情報 - 島根県
「WooCommerce」旧版にRCE脆弱性 - 実証コードも
「Node.js」に12件の脆弱性 - 修正版を公開
先週注目された記事(2026年6月14日〜2026年6月20日)
学生向けのイベント当選通知でメール誤送信 - 兵庫県立大
職員アカウントが侵害、スパムの踏み台に - 日中経済協会
