WordPressのクロスサイトスクリプティングについて

はじめまして。

私は今、職場で自社ホームページの運営を兼任しているます。
そうは言っても、ホームページを作れる技術者ではなく、以前の担当が退職したため先月、私にその役割が回ってきました。

ホームページには、ワードプレスというシステムが導入されているそうで、管理画面に入っていろいろと調べたところ、本体とプラグインのアップデートアラートが沢山立っていました。
アップデートしないとセキュリティ上問題なのは理解しているのですが、よくセキュリティの問題で耳にするのが、クロスサイトスクリプティングや、SQLインジェクションです。

でも、この攻撃は、WEBサイト内にユーザーが入力できるフォームがある場合にされるのであって、入力フォームがない場合は問題ないと思うのですが、理解は正しいでしょうか？
もちろん、問い合わせフォームはありますが、これは外部のSalesforceの入力フォームを使用しています。

どなたかご教示いただけますと幸いです。
よろしくお願い致します。

No.2 ベストアンサー 回答者： htokumaru 回答日時： 2016/07/06 12:36

No.1です。

「お礼」への返信です。遅くなり申し訳ありません。

入力フォームがない場合ということですが、外部から明示的な入力フォームが見えない場合でも、WordPressやプラグインには管理画面などがあります。管理画面は、管理者がログインしている場合しか見えませんが、それは、ログイン中の管理者が攻撃を受けた場合、クロスサイトスクリプティングの被害を受けることを意味します。なので、管理者はこまめにWordPressからログアウトしておくと、クロスサイトスクリプティング等の被害にあいにくくなります。
また、管理画面でなくても、URLのパラメータ（クエリ文字列）を受けとる部分や、クッキー経由で攻撃を受ける場合等もあります。
現実的に脆弱性の影響を受けるか受けないかはケースバイケースなのですが、その判断も難しいので、脆弱性が報告された場合は該当のソフトウェアを更新するのが安全です。

この回答へのお礼

htokumaruさま
2回に渡り、ご丁寧な回答ありがとうございました。是非、参考にさせていただき、今後のセキュリティ対策に努めたいと思います。ありがとうございました。

お礼日時：2016/07/09 11:01

No.1 回答者： htokumaru 回答日時： 2016/07/03 17:57

まず、『入力フォームがない場合は問題ない』というのは誤解です。

クロスサイトスクリプティングについて、入力フォームが問題となるのは、クロスサイトスクリプティングの脆弱性の発生源の一つが入力フォームである、ということです。この場合、クロスサイトスクリプティングの発生源としてワードプレス本体あるいはプラグインに脆弱性があるという場合は、それらソフトのどこかに脆弱性があるわけですから、あなたが作った部分に入力フォームがあるかないかは関係ありません。脆弱性の該当箇所がプラグインである場合は、当該プラグインを完全に削除すれば、脆弱性の影響は受けなくなります。
ということで、入力フォームがなくても脆弱性の影響は受けます。

この回答へのお礼

htokumaruさま

わかりやすい、ご回答感謝いたします。
クロスサイトスクリプティングの解説をネットなどで調べますと、どれもメールフォームや、掲示板、ブログのコメント投稿欄などの入力フォームからの被害が例として書かれていましたので、プログラム内に脆弱性があっても入力項目がなければ問題がないものと捉えていました。質問をして本当によかったです。

ただ一点、ここでまた疑問なのですが、XSSの脆弱性があった場合、入力フォームから悪意のあるスクリプトを埋め込まれるというのは容易に想像がつくのですが、入力フォームが無い場合は、クラッカーはどこからスクリプトを埋め込むのでしょうか？

素人判断では、WordPressのログインアカウントが漏えいして管理画面からが想像つきやすいのですが、これは可能な限り厳重な管理をすればある程度防衛できるかと思います。
管理画面以外からのスクリプト埋め込みも、どこかの侵入経路をつかって、されてしまうのでしょうか？
もし、そうでしたら代表的なものだけでも、ご教示いただけますと幸いです。

宜しくお願い致します。

お礼日時：2016/07/04 09:44