WPGatewayプラグインにゼロディ脆弱性
ホームページに実装されるCMSで一番多く使われているWordPressのプラグインが、また狙われました。
WordPressのプラグインであるWPGatewayが抱えているゼロディ脆弱性が積極的に悪用されているようです。
「WPGateway」はWordPressサイトを単一のダッシュボードで設定・管理する機能で、この脆弱性の影響を受けるホームページは悪意のある攻撃者に完全に乗っ取られる危険性があります。
9月15日現在、このプラグインのパッチはまだ出ていないらしく、このプラグインが入っている場合はすみやかに削除してください。
この脆弱性を悪用した形でホームページが侵害されたかどうかを判断する最も一般的な指標は、「rangex」というユーザ名を持つ悪意のある管理者が追加されているかどうかで見極めらます。
この名前のユーザがダッシュボードに追加されているのを確認した場合、ホームページが侵害されている可能性が高いです。
当社は安全な国産CMSの実装をお薦めしています
WordPressは無料のCMSということで、ほとんどのホームページ制作会社はこのCMSをお客様に薦めています。
ただオープンソースということと、プラグインはいろいろな会社が独自で提供しているため、プラグインがセキュリティホールとなって狙われるケースが後をたちません。
そして、その度に対策に費用がかかるのであれば、最初の「無料」という意味はないと思います。
このようなことから当社では、WordPressの実装はお薦めしていません。
当社では、安全で大変使いやすい国産CMS「a-blog cms」の実装をお薦めしており、このCMSで納品したお客様からも「更新が簡単になった」と大変喜ばれています。
現在のホームページにWordPressが入っていて、3年以上もバージョンアップしていない場合は、いつ狙われても不思議ではないと思います。
ホームページのリニューアルの際には、国産CMSの「a-blog cms」の実装をご検討ください。