インシデントレポート

WordPress のプラグイン Loginizer の脆弱性解消のため強制更新が行われます

人気のWordPress プラグインである Loginizer の脆弱性が先週発見され、Loginizer の機能である総当たり攻撃保護が有効になっているウェブサイトに対して攻撃者がSQLインジェクション攻撃を実行できるということがわかりました。

その結果、数百万のWordPressサイトでLoginizerを強制的に更新されるという珍しい措置を講じられることになりました。

Loginizerとは

Loginizer プラグインは100万を超えるインストールがあり、世界で最も人気のある WordPress プラグインの1つです。

Loginizer プラグインを使うと3回のログイン失敗後15分間、および複数のロックアウト後24時間、総当たり攻撃でウェブサイトへのハッキングを試みるIPをブロックすることにより、WordPress サイトを総当たり攻撃から保護するセキュリティプラグインです。

無料機能では、失敗したログイン試行をログに記録、ブロックまたは許可リストにIPを追加、失敗したログイン試行でカスタムエラーメッセージを表示できるようにします。有料機能には、パスワードなしのログイン、2要素認証、CAPTCHAの追加が含まれます。

脆弱性について

この脆弱性は WordPressサイトのSQLデータベースに、不明なユーザー名からのログイン試行を記録するプラグインの総当たり攻撃保護機能に関連しています。問題は不正なログイン試行がデータベースにログインする前に適切にサニタイズされていなかったことです。

プラグインはユーザー名フィールドに文字が入力されたときに、SQLクエリのユーザー名をデータベースに送信していました。

つまり、SQLクエリを含むユーザー名を使用してLoginizerプラグインがインストールされているWordPressサイトにログインした場合、悪意を持った第三者がサイトのデータベースに対してコードを実行できるようになる可能性があります。

基本的に、基本的なコマンドラインスキルしかない人でも、このプラグインを使用している何百万ものWordPressサイトのいずれかを完全に危険にさらすことができるようになります。

Loginizer プラグインは自動的に更新されます

通常 WordPressプラグインでセキュリティの問題が発見された場合、深刻な問題であっても WordPressはプラグインを更新するかどうかをサイト管理者に任せています。

プラグインの更新を強制しない理由は、プラグインの更新によって特定のユーザーのサイトが破損することがあるためです。WordPress はこういったウェブサイトに不具合を生じさせてしまうコストは、バグを修正するコストよりも高いと考えているのかもしれません。

ただし今回は脆弱性が非常に深刻でリスクを冒すことができなかったため、このプラグインを実行している全てのウェブサイトが強制的に更新されました。

自分のウェブサイトが安全であることを確認する方法

自分のウェブサイトは安全かどうか以下をもとに再度確認してみましょう。

  • Loginizerプラグインを使用しているかどうかを確認

使用している場合、WordPress 管理ページの「プラグイン」の下に表示されます。

  • プラグインのバージョンを確認

パッチが適用されたバージョンであるバージョン1.6.4以降を使用していることを確認してください。 以前のバージョンを使用していることがわかった場合は、プラグインをすぐに更新してください。

ベストプラクティス

普段からウェブサイトのセキュリティを高められるように、次のベストプラクティスを行うようにしましょう。

  1. 定期的に更新されるプラグインを使うようにしましょう
  2. シンプルホスティングのインスタンスでスナップショットを有効化しましょう
  3. シンプルホスティングのインスタンス全体を定期的にバックアップしましょう
  4. WordPressのセキュリティアップデートをフォローしましょう

——

Gandi のSNSアカウントをフォローしてドメイン名関連のお役立ち情報や割引情報を受け取りましょう!

Twitter : https://twitter.com/Gandi_JP
Facebook : https://www.facebook.com/gandijapan