WordPressサイトからマルウェア配布、警戒を

○影響と対策

最終的にインストールされるマルウェアはトロイの木馬とされ、感染するとデータの窃取、遠隔制御、追加マルウェアのインストールなど、深刻な被害に遭う可能性がある。

Sucuriはこのような攻撃を回避するため、WordPressサイトの管理者に次の対策の実践を推奨している。

定期的にインストールしているプラグインやテーマを確認し、不審なプラグインや使用しないプラグインをすべて削除する
Webサイトを構成するすべてのソフトウェアのアカウントに一意で強力なパスワードを設定する
定期的にWebサイトのアクティビティを監視し、不審な活動や見覚えのない管理者アカウントが存在しないことを確認する
WordPressの管理ページへのアクセスに多要素認証(MFA: Multi-Factor Authentication)を導入する。また、可能であればアクセス制限を実施する
Webサイトを構成するすべてのソフトウェアを常に最新の状態に維持する
Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する

WordPressはCMS(Content Management System)の中で最も利用者が多いことから、サイバー犯罪者にとって魅力的な標的とされる。そのため、WordPressサイトの管理者には万全なセキュリティの構築と、継続的な対策の実施が望まれている。
（後藤大地）