「WordPress」における不用意な露出に注意 - 攻撃の糸口となることも
コンテンツマネジメントシステム(CMS)の「WordPress」で作成された中小企業サイトの6割超において、ユーザーリストが公開されており、さらにログイン画面へアクセスできる状態となっていることがわかった。
大阪商工会議所と立命館大学が共同で2023年10月3日から11月10日にかけてアンケート形式により調査を実施したもの。大阪を中心に22都道府県の企業や団体など111組織が運営する「WordPress」で構築されたウェブサイト192件について、「WordPress」のバージョン、ユーザーリストやログイン画面の露出、プラグインの利用状況などを調べた。
サイト上から稼働する「WordPress」のバージョンを確認でき、最新バージョンを使用していなかったケースは6%。また78%において、管理者をはじめとするユーザーリストを外部より確認することができたほか、77%でログイン画面にアクセスできたという。
ユーザーリストとログイン画面の双方が露出しているサイトは66%にのぼる。使い回されたパスワードが何らかの理由で外部へ流出したり、容易に推測できるパスワードなどを用いていた場合、不正アクセスを受けるリスクが高まる。
また過去に脆弱性が公開されたことがあるプラグインを93%のサイトで利用していた。ただし、同調査ではプラグインのバージョン、脆弱性の有無については確認していないため、脆弱性が修正された最新版へアップデートなど適切に実施されていれば必ずしも危険であるとは限らない。
(Security NEXT - 2024/02/09 )
ツイート
PR
関連記事
全校生徒の名簿データを第三者へメール誤送信 - 大洲市
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
物流検品システムなどまもなく復旧、物量制限は解除へ - ランテック
コミュニケーションサポーターのメアド流出 - 茨城県国際交流協会
ランサムでシステム障害、配送遅延など影響 - センコーグループ子会社
職員が顧客情報をUSBメモリで持出、日次確認で判明 - 一関信金
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
スポーツグッズ通販サイトで個人情報流出か - 不正プログラムや改ざんを確認
ランサム攻撃で暗号化被害、公共工事のデータも - 松永建設
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
