先月発表されたWordPressのREST APIの脆弱性をついた攻撃により、全世界で150万を超えるサイトが被害を受けたようです。

この脆弱性は、権限の確認に問題があり、ある一定のルールのもとでリクエストを送信すると恐ろしく簡単にコンテンツの編集ができたということで国内でも多くのサイトが改ざんされました。

現在はセキュリティアップデートにより脆弱性は解消されていますが、CMSにおいて圧倒的なシェアを誇るWordPressは常にサイバー攻撃の対象になりますから、今後もイタチごっこ状態は続きますね。

できるセキュリティ対策はしっかりやっておきましょう

攻撃者も巧妙なので、完全に被害を防ぐことは難しいですが、状況に応じて海外からのアクセスを禁止したり、利用できるサーバーならウェブアプリケーションファイアウォールを有効化するなど、できるセキュリティ対策はしっかりやっておきましょう。

いくらバックアップは完璧だとしても、被害にあった後の復帰対応はなにかと大変ですからね。

管理画面からのテーマ・プラグイン編集を無効化する

WordPressでサイトやブログを運営している場合、固定ページや投稿の更新をしても、テーマやプラグインを管理画面から直接編集することはないというケースが多いと思います。

それなら、管理画面からのテーマ・プラグイン編集ができないようにしておいた無難です。

方法はデータベース接続情報などが記述された設定ファイル wp-config.php に次のように追記します。

define('DISALLOW_FILE_EDIT',true);

DISALLOW_FILE_EDITにtrueを指定することで、メニューの外観からテーマとプラグイン編集項目が非表示になり、編集ができなくなります。