Wordpress

複数のwordpressサイトを管理するプラグイン InfiniteWP に深刻な脆弱性が発見される(2020/1/14)

投稿日:

こんにちは。ワラゴンです。

2020年1月14日Woedfenceから、InfiniteWP というプラグインに重大な脆弱性があるよ、というメールを受け取ったので、少し書いてみます。

 

InfiniteWP とは

まず、InfiniteWP というプラグインについて少し紹介しておきます。

これは、複数のWordpressのサイトを管理できるプラグインで、推定30万ものワードプレスサイトで利用されています。

大元となるサイトにInfiniteWP Serverプラグインを入れ、その他のサイトにはInfiniteWP Clientを入れ、Server側からClientサイトたちを管理する、というもののようです。

これがあると、複数のサイトのWordpress本体やプラグインの一括アップデートができたりして、とっても便利なんだそうです。

 

クライアント側のサイトに無断でログインされる!

今回の脆弱性でどんな被害が出るかと言うと、クライアント側のサイトに勝手にログインされてしまいます。

ただ、攻撃者はサイトのユーザー名だけは知っておく必要があります。

今どきWordpressの管理者ユーザー名を"admin"なんてしている人はいないと思うので、実際に侵入が成功するには少し壁があります。

 

どのように?

侵入される方法はかなり簡単で、対象サイトに以下のようなパラメータを付与してアクセスするだけです。

{"iwp_action":"add_site","params":{"username":"admin"}}

※実際にはbase64でエンコードなど必要と思います。

これでユーザー名さえ合っていれば、やすやすとログインすることができるようです。

対策は?

対策は2つあります。

1. クライアント側のプラグインであるInfiniteWP Clientのバージョンを1.9.4.5に上げる
2. Wordfenceを入れているなら、そのバージョンを7.4.3以上にする

まあ、InfiniteWPもWordfenceも入っていて、Wordfenceだけをバージョンアップするなんてシチュエーションは皆無だと思いますが、それでもWordfenceがこういうセキュリティインシデントを防ごうとしてくれている姿勢には感服します。

Wordfenceブログによると、通常のWAF(Web Application Firewall)ルールでは対応できないので、Wordfenceのプログラムコードに変更を加えて特別対応したとのことです。

こんなセキュリティプラグインが無料だなんて、まじすごいです。

 

Cloud WAFの場合は気を付けて

そしてさらにWordfenceは忠告も付け加えてくれています。

というのも、攻撃の特性上、本物のアクセスと悪意のあるアクセスの区別がつかないため、WAFのルールで防ぐのは著しく困難なんだそうで。

普通にInfiniteWPのサーバー側のサイトがクライアント側にアクセスする際も、全く同じリクエストになるためです。

なので、通常WAFが行うHTTPリクエストの解析では対応ができません。

それでは、Wordfenceはどのように防いでくれているかというと、WordfenceはInfiniteWPのクライアント側がサーバー側と事前の鍵交換をしているかどうかを見て判別しているようです。

WordPressのプラグインならではの防御法ですね。

私はこれまでウェブサイトの最強のセキュリティはWAF(いわゆるCloud WAF)だと思っていたので、考え方を改めないといけないかもしれません。

 

まとめ

いかがでしたでしょうか。

攻撃が成功する条件は限られていますが、ユーザー名さえ分かっていれば攻撃が成功するので、もしInfiniteWPを使っている人がいたらすぐに更新するようにしましょう。

それにしても、今回の件で、改めてWordpressの最強セキュリティプラグインはWordfenceだなと実感しました。

 

元ネタ:Critical Authentication Bypass Vulnerability in InfiniteWP Client Plugin

 

WordPressのセキュリティ診断ツールではカスタマイズ部分の脆弱性を検出できない

おすすめ記事

1

こんにちは。ワラゴンです。 今日は、アメリカで見つけた、日本ではあまり知られていないけど超絶おいしいお菓子を紹介したいと思います。 その名も Loacker Quadratini。 なんて読むのかは分 ...

2

こんにちは。ワラゴンです。 アメリカに在住することのひとつのデメリットは、「日本への一時帰国が簡単ではない」という点です。 特に、子供が小さいうちはなるべく親に孫を見せてあげたいと思うのが心情なのでは ...

3

こんにちは。ワラゴンです。 みなさん、Netflix(ネットフリックス)って知っていますか? アメリカ発の動画配信サービスなんですが、これが英語の勉強をするのにとても便利なのです。 英語学習では、映画 ...

4

0. はじめに こんばんわ。ワラゴンです。 さて、今日は久しぶりにアメリカ生活について、 特にロサンゼルスの賃貸事情について少しお話したいと思います。 これからロサンゼルス周辺に駐在でいらっしゃる皆様 ...

5

どうもワラゴンです。 今日は、タイトルにもあるように、一歩進んだバックアップのプラグイン、 UpdraftPlusを紹介したいと思います 1. はじめに みなさん、Wordpressのバックアップを取 ...

6

0. はじめに こんにちは。ワラゴンです。 調べ物をしている最中、すごいサイトを発見したので紹介したいと思います。 そのサイトというのは、以下になります。 副業クエスト100 もう、何というか、アフィ ...

7

前回、アメリカ生活のここがイヤ!移住して後悔したこと 前編 3つという記事を書きました。 今回はその続きになります。 シリーズを最初から読みたい方は以下の目次ページが便利です エンジニアのアメリカ進出 ...

-Wordpress

Copyright© 40歳から始める資産ブログ , 2020 All Rights Reserved Powered by STINGER.