WordPressセキュリティニュース Vol 1

2023年1月12日にWordfenceブログが更新されました。以前から休日のハッキング攻撃が多いことを発信していたWordfenceですが、去年のクリスマスと年末年始もハッキングが急増したとのこと。

古いプラグインの脆弱性をついたもので、今回標的にされたものが、「Downloads Manager -0.2」

（W3 EdenのDownload Managerとは別物なので注意）上記プラグインの任意のファイルをアップロードする機能を利用し、ディレクトリ内に不正ファイルをアップロードし、実行することでサイトをハッキングすることができます。

Downloads Manager-0.2は現在、Wordpress.orgでは閉鎖されダウンロードができないようになっていますが、利用している方は、削除するか交換する必要がありますのでご注意ください。

サイトに設置される不正ファイルの代表的な例は、up__xxxxx.php（xxxxxはランダムにセットされるようです）saber.php

これらのファイルを見かけたら、ご利用のサイトはすでにハッキングされているかもしれません。不正アップロードされたファイルを削除し、脆弱性のもととなる箇所を突き止め修正しましょう。 ハッキングされないためにも日頃からこまめにプラグインのアップデートを行い、WordPressも最新のものに保ちましょう。

そしてWordPressにセキュリティプラグインを導入し、プラグインに脆弱性が発見されたら更新or代替プラグインを導入し削除しましょう。とはいえ、使いたいプラグインがWordPress最新版に対応していなかったり、PHPバージョンが合わなかったりと色々面倒なことも多々あります。もし、自分で対応しきれない場合はその道のプロにお願いしてしまうのも一つの手だと思います。

更新時間がない方や、自信がない方はお気軽にご相談ください。