WordPressセキュリティ事故からの教訓

2013年、大手レンタルサーバにて、全ユーザーのWordPressウェブサイトが改ざん事件がありました。

侵入経路は非公開でしたが、ファイルアクセス権限の問題ではなく、ユーザーが導入した海外テーマもしくはpluginではないかと思っています。

テーマやpluginはPHPプログラムですし、インターネットから内部データへのアクセスを許しているようなものです。

動作の振る舞いの想定としては、なんらかのトリガーでプラグインが動作し、プログラムコードが埋め込まれるといった感じでしょう。

海外テーマやプラグインのインストールは慎重に!慎重に!導入しましょう!

入れる前にはソースチェックを心掛けましょう!