WordPressサイトでは、WordPress本体のバージョンを最新にすることが重要ですが、あわせてテーマやプラグインも最新バージョンを使うということも忘れてはいけません。
古いプラグインやテーマから侵入するサイバー攻撃
先日、WordPressの古いプラグインやテーマから侵入するサイバー攻撃をするプログラムが発見された、というニュースがありました。
ロシアのアンチウイルス製品を開発するDoctor Webは、WordPress CMSをベースとしたWebサイトをハッキングする悪意のあるLinuxプログラムを発見したと発表した。
Linuxマルウェアが複数の古いWordPressプラグインやテーマに存在する30の脆弱性を悪用して、悪意のあるJavaScriptを注入していた。その結果、ユーザーが感染ページの任意の領域をクリックすると、他のサイトにリダイレクトされる被害が起きていたという。
WordPressの“古いプラグインやテーマ”から侵入するサイバー攻撃、ロシアの企業が発表 標的のアドオンリストあり(IT media)
古いプラグインやテーマの脆弱性を利用してプログラムを注入し、元ページの内容に関係なく攻撃者が誘導したいサイトを表示させる行為をします。
誘導されるサイトはフィッシング詐欺やマルウェア(ウイルス)配布目的のサイトが多いとのこと。
今後悪用が広がれば、今流行りのテクニカルサポート詐欺の表示を出すということも考えられます。
テクニカルサポート詐欺に注意! | FD Magazine
「ウイルスに感染した」「パソコンにエラーが見つかった」などという表示を出し、サポート料金をだまし取ろうとするテクニカルサポート詐欺(サポート詐欺)の被害が増加…
FD Magazine 
テーマ・プラグインは信頼できるものを使うこと
テーマやプラグインを選ぶ際は、信頼できるものを使うようにしましょう。
- 開発元が信頼できるか?
- 開発やサポートは継続しているか?
- 新しいバージョンが提供されているか?
特にテーマやプラグインは開発が終了しサポートも打ち切られているものも多数あり、数年前に提供されたプログラムしかない、という例もあります。
新しいWordPressとの整合性も保証できませんし、脆弱性や不具合が発見されても修正されないので利用することは危険が大きいです。
テーマやプラグインのアップデートも忘れずに!
WordPress本体のアップデートはもちろんですが、テーマやプラグインのアップデートも忘れずに行いましょう。
プラグインはダッシュボードの更新機能を利用すれば更新の有無をチェックしアップデートできます。
テーマは公式サイトで配布しているものやテーマ独自で更新機能を持つものはダッシュボードでアップデートできますが、独自配布のテーマで更新機能がないものは配布サイトで最新版をダウンロードしてサーバーにアップロードする必要があります。
利用しているテーマの更新方法を確認し、きちんと更新できるようにしておきましょう。
なお、開発やサポートが終了しているテーマやプラグインはできるだけ利用しないことをおすすめします。
