バックドアとは？サイト乗っ取りの手口と対処法

バックドアは、通常の認証プロセスをバイパス（迂回）して、検知されずにサーバーに遠隔アクセスすることを可能にする手法のことです。ずる賢い殆どのハッカーがまず第一に行うことが、バックドアのアップロードです。

バックドアに利用したプラグインが発見されて削除された後ですら、ハッカー達のアクセスを可能にします。バックドアはプラグインのアップデートをした後でも、残っていることがあります。そのため、バックドアを利用してハッキングされた後、完全に片付けない限り、サイトは脆弱な状態となります。

備考：
1つ前の記事で紹介した2017年12月に、WordPress Captchaプラグインのバックドアを発見し詳細を記事で公開したWordfenceのブログ記事には、既に対策されたアップデートが行われていることを説明した後で、太字で速やかにCaptcha プラグインをアンインストールすることを推奨しています。対策のアップデートがされているので、大丈夫とは限らない事、推奨はプラグインをアンインストールするという点も着目すべきポイントだと思います。

バックドアには、隠された管理者ユーザーネームを作成するシンプルな手法から、ハッカーが自在にバラウザーからPHPコードを送信して実行することを可能にする様な込み入ったバックドもあります。それら以外にも、本格的なUIを備えたシステムからメールを送信してSQLクエリを実行し、ハッカーが自由自在にやりたいことができるようにするものもあります。

バックドアのコードが設置されることが多いもの

WordPressにバックドアをインストールする場合、最も一般的な場所は以下になります。

テーマ

現在使用しているテーマではないテーマではなく、テーマのディレクトリに残っている使われていないテーマのディレクトリにコードを忍び込ませていたりします。

プラグイン

プラグインは、ハッカーにとってコードを密かに設置するのに適しています。第一の理由は、ユーザーはほとんど細かい中身を見たりしないためです。第二にユーザーは（直ぐに）プラグインをアップデートしないため、脆弱性などに対策したアップデートをされない状態のままのものをハッキングできたりするためです。

備考：

今回発見されたCaptchaのプラグインで行われたような、自動アップデートを利用してバックドアのファイルをインストールする逆の手口もあります。

プラグインは、脆弱性があるものもあります。プラグインの脆弱性を利用して、ハッカーがバックドアを作成する場合もあります。

アップロードディレクトリ

画像などをアップロードするディレクトリには多量のファイルがあります。ディレクトリ内のファイルをユーザーがチェックすることはあまりないため、ハッカーがバックドアのためのファイルをアップロードするのに好都合な場所です。また、アップロードディレクトリは、ライタブル（書き込み可能）のため、ハッキングに適しています。

過去の事例では、バックドアのファイルは、アップロードディレクトリに隠しておく場合が多いです。

wp-config.php

wp-config.phpは、WordPressの基本的な設定を行う重要なファイルです。そのため、ハッカーからも狙われやすいです。

wp-includes フォルダー

/wp-includes/ フォルダー（ディレクトリー）も、バックドアが見つかることがあります。wp-includes フォルダーも、ユーザーが通常見ることがないため、バックドアファイルの設置に狙われやすい場所です。ハッカーによっては、バックドアファイルを複数設置する場合もあります。アップロードしてバックドアファイルを設置する際、バックアップも加えて設置したりする事例も見つかっています。

WordPress サイトでのバックドア例

これまでに見つかっているWordPress サイトでのバックドアの例としては、wp-includesのフォルダーの中に通常のインストールでは存在しないwp-user.phpと言う名のバックドアファイルが含まれているなどがあります。user.phpが通常あるファイルです。ファイル名も一見しただけでは、直ぐに分からないような名前にしていることが多いです。

2017年12月に見つかった Captcha プラグインのバックドアは、プラグインの自動更新を行うファイル内に、バックドア作成コードを忍ばせたZIPファイルをダウンロードする巧妙な手口が使われているものでした。

バックドアなどのハッカー攻撃に対する対処法

乗っ取りの手段は、巧妙で複雑なものもありますが、WordPress の乗っ取りに対する防御も強まっています。バックドアなどのハッカーからの攻撃の防御に効果的な対処を以下に紹介します。

2017年2月にWordPressのバージョン 4.7と4.7.1に脆弱性があり、5万以上のサイトが乗っ取られるという事態が発生しました。WordPress バージョン4.7.2以降はセキュリティ対策を施したバージョンアップは、自動で行うように変更されました。現在のWordPressでは、セキュリティ上の問題が見つかって対策を行なったバージョンがリリースされると、利用中のユーザーのサイトは自動的に対策済みのバージョンに更新されるようになっています。

WordPressのセキュリティリリースは自動で更新されるようになったことで、WordPressのコアなどの脆弱性に対するハッキング行為は難しくなっています。そのため、ハッカーはプラグインやテーマの脆弱性を狙う傾向が強まっています。プラグインやテーマは様々な種類があります。プラグインやテーマの管理については、ユーザー側で特に注意を払う必要があります。以下に紹介するようなプラグインやテーマの基本的な管理を行うだけでも、バックドアなどのハッキング予防となります。

家の防犯対策と同じで、少し注意を払ったり、基本的なことを行うだけでも、被害を受けるリスクを低減します。

信頼性が高いプラグインやテーマを使用する

テーマやプラグインの品質は差があります。脆弱性があるテーマやプラグインもあります。一般的には、多くのユーザーが利用しているてテーマやプラグインを使用する方が安全です。利用者が多いテーマやプラグインでも脆弱性が見つかることはありますが、対策も早く行われることが多いです。情報の入手もしやすいです。

使っていないテーマやプラグインは削除する

上で紹介したように、使用していないテーマはバックドア作成に狙われやすいです。使用していないテーマは削除することで、安全性を高めます。（リスクを低減します。）使っていないテーマを再び使ってみようと考えたり検討する際には、その時に改めてテーマをダウンロードすれば良いことです。

使っていないプラグインも削除することで、バックドア攻撃などのリスクを低減します。

使用していないテーマやプラグインをそのままにしておくこと、不使用のファイルがサイト上に多量にあることはセキュリティ上を含めて、好ましいことではありません。利用していないテーマやプラグインを削除するだけでも、バックドア予防に寄与します。

プラグインやテーマを最新版にする

古いバージョンのプラグインやテーマにある脆弱性を利用して乗っ取りを行おうとする場合もあります。また、脆弱性が見つかったため対策したバージョンにアップデートされた場合、速やかにアップデートすることで乗っ取りからの被害を受けるリスクを低減することができます。プラグインやテーマの更新をまめに行うことも重要です。

甘い話には乗らない

プレミアムテーマやプラグインを無料で利用できるなどと誘惑して、乗っ取り用のコードなどを組み込んだプレミアムテーマやプラグインをユーザーに配布して、サイトにアップロードさせて乗っ取るような手口もあります。上手い話には裏があるのが通例です。甘い話には乗らないように注意して下さい。

.htaccess、wp-config、wp-includes に対する防御

.htaccessやwp-config ファイル、wp-includes ディレクトリなどのWordPressの重要な設定を行うファイルやディレクトリを、.htaccess にルールを設定して保護する方法をご参照下さい。

サイトを安全に保つことは家の防犯対策と似ています

サイトを乗っ取りなどの被害を受けないようにすることは、家などの防犯対策と似ているところがあります。家の戸締まりをきちんとしたり、少し注意を払ったりするなど基本的なことを行うだけでも、被害を受けるリスクを低減する効果が高いです。サイトにも同じことが言えます。

セキュリティ会社のシステムを利用すれば安全性は高くなりますが、利用しなくても注意を払うだけで被害を受けるリスクを減らすことは十分に可能です。本記事で紹介したバックドアの対策は、WordPressのセキュリティを強化するための基本的な事と共通するところも多々あります。やれることをやるだけでも十分に効果があると思います。