WordPressサイトの引っ越しや、開発環境から本番環境への移行等によりドメイン名やディレクトリ構造を変更する必要がある場合、データベース内のドメインやURLをSQLで直接書き換えるのではなく、DB置換ツール(Search Replace DB)が広く利用されているようです。
WordPress の引越し(WordPress Codex 日本語版)
http://wpdocs.osdn.jp/WordPress_%E3%81%AE%E5%BC%95%E8%B6%8A%E3%81%97
Search Replace DB
https://interconnectit.com/products/search-and-replace-for-wordpress-databases/
Search Replace DBはとても便利なツールですが、データベースのユーザ名/パスワードを
入力することなくデータベースを書き換えることができるため、利用する際には、セキュリティを十分考慮してください。
利用の仕方によっては、サイト上のコンテンツが改ざんされるだけでなく、以下のような被害を受ける危険性があり、現在、放置されたSearch Replace DBを利用した攻撃が観測されています。
想定される被害の例
想定される被害の例は以下のとおりです。
- データベースのアクセス情報(データベース名、ユーザ名、パスワード、
ホスト、ポート)が漏洩し、データベース内のデータが漏洩する。 - データベース内のデータにPHPコードを混入されることで、
仮想通貨のマイニング、OSの不正操作等、任意のコードが実行される。
チェックポイント
以下のチェックポイントにチェックがつく場合、至急いずれかの対策を実施いただくことを推奨します。
- 作業が終わったにも関わらず、Search Replace DBを削除していない。
(Ver.3の場合は「delete」ボタンをクリック) - Search Replace DBへのアクセス制限を実施していない。
- Search Replace DBをWordPressのルートディレクトリ等わかりやすい場所に配置している。
対策
- Search Replace DBを削除する(推奨)
- Search Replace DBを削除できない場合はアクセス制限を実施する
Search Replace DBのサイトには、インストール時の注意事項の記載があります。このようなツールやスクリプトを利用する際は、注意事項を正しく理解してから利用することが大切です。また、利用完了後はただちに削除し、利用中も外部からアクセスできないように、アクセス制御することが鉄則です。
【参考】
WordPressのプラグインDuplicator 1.2.40以前にリモートコード実行の脆弱性(徳丸浩の日記)
https://blog.tokumaru.org/2018/09/wordpress-duplicator-plugin-vulnerabilty.html
- カテゴリ:
- 検証・考察