Robert Scoble氏のWordPressも何度かCrackされていたらしい

※現在進行中緊急性高い話題のようです。2.8.4以前の方要注意ください！
こちらが詳しいです。http://blog.yoshitomo.org/archives/524

Robert Scoble氏のWordpressも、何度もCrackされていたそうです。

▼I don’t feel safe with WordPress, hackers broke in and took things
http://scobleizer.com/2009/09/05/i-dont-feel-safe-with-wordpress-hackers-broke-in-and-took-things/

Crackってどんなものだろうとおもってリンク先を見ると、このタイプ。

First, there are strange additions to permalinks, such as example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/. The keywords are “eval” and “base64_decode.”

http://www.techcrunch.com/2009/09/05/security-threat-wordpress-under-attack/

適当な外部書き込みが出来るディレクトリに、base64_decode＋悪意のあるコードを埋め込んだエンコード文字列でリクエストをかけて、内部でphpファイルを作って乗っ取りをかけ、その後、隠れたAdminユーザを作って、wp-config.phpをいじって、例えばテンプレートを改ざんしたりするようです。

ざっと関連情報を見たところ、目的はさまざまなようですが、単純にテンプレートに自分のサイトへのリンクを張ってバックリンク稼ぎをするだけのものから、.htaccessを使って別のサイトに強制的に飛ばして、アクセス者の環境変数とか取ってうんちゃらしていくものまでさまざまな模様です。

IEのセキュリティホールと組み合わされたりしなければ、アクセスしてくる人にとってはそこまで脅威ではないですが管理者にとっては大変です。

攻撃例

実際に攻撃を受けた方のログがこれです、こういった流れも多いと。

1. Others に対して書き込み権限を与えてあるディレクトリに、include_once() の http ハンドラを使用してロシアのサイトに接続するよう記述された php ファイルを作成する。（ファイル名はいくつかのパターンがありますが、system.php config.php など、他の PHP ファイルに紛れ込むようなファイル名が付けられています）

2. Others に対して書き込み権限を与えてあるディレクトリに、.htaccess を作成し、1 で設置されたファイルに誘導しようとする。

3. Others に対して書き込み権限を与えてある、既存の拡張子が .php のファイルに対して、1 と同様の内容を追記する。

4. Others に対して書き込み権限を与えてある、既存の拡張子が .html .htm のファイルに対して、外部参照 JavaScript でロシアのサイトに接続するよう追記する。

Rhein-strasse » Blog Archive » Web サイトが攻撃を受けました

WordPressのプラグインにも

しかし、ちょっと本題からはずれるのですがWordPressってPluginを追加して自分好みにカスタマイズしていこうというイメージが、MovableTypeに比べて強いと思います。そのためか、Pluginに同様の仕組みが入っていた！というようなものもあるみたいですね。

下の記事で紹介されている「Twitter Poster」というプラグインは、広告部分をbase64_decodeで出力していたために問題になっています。

▼WordPressとeval(base64_decode(…)) – ExP10S10nZ’s BLΩG
　http://blog.sabaitiba.com/2009/03/12/905.html?wscr=1600×1200

強い対応策を打つことは現実的には、なかなか難しそうですね。期待できるとすれば、Googleが何かWordpress.orgと個別に話をしていないかな、とか。WPのクラッキングにしても、プラグインにしてもリンクを獲得することが目的のものが大半のようなので

WordPressの裾野が広がっているので…

Worpress側がどんなに「バージョンアップしてください」「こういうことはしないでください」と言っても、大半のユーザやっぱり、めんどくさかったり、とりあえず入れて使っているだけでそもそもそういう情報を気にしていない、というものです。MTの2.6とか使っている人もまだまだいます。少なくとも自分の周りにすでに数名。

WordPressは自分で入れるから自己責任と言うのは正論ですが、それはそれとして現状打開としてなんらかの仕組みを入れないと、いたちごっこは続きそうです。

自動アップデートの仕組みを入れるとか、あるいは少なくともWordpressのDLをする際に、自分でセキュリティなどに対応できない人はSaaS型(ASP型)を選ぶように誘導するなどはやった方が良いのではと。

余談

逆に言うと、「セキュリティ関連は放って置いても安心」なサーバインストール型のCMSが出たら、WPに対して一部のセグメントに対してはシェアを取れるのではと思います。

MTもその辺を保障しているわけではないですし、SaaS型(ASP型)にすると制限がきついからサーバインストール型にしたいけど運用コストはかけたくない、っていう層は確実にあると思うんです。

これからWordPressなどをつきくずしてくとしたら、そのセグメントを橋頭堡にするのも一つの道としてありだなと思います。