まぁ、狙われるよね。

　CMSを知らないという人でも、名前くらいは聞いたことがあるかもしれません。特にWordPressはCMSの代名詞となっていて、「レンタルブログを卒業したら、いつかはWordPressを使いたい」と考える人も多く、WordPressのインストール方法や運用方法がブログの形で公開されています。

　ところが、「市場シェアが高いこと」と、「公開サーバ上で動いていること」は、攻撃者から見れば“おいしい獲物”に他なりません。そんな背景からシェアTop3のCMSは、常に攻撃にさらされているといってもいいでしょう。最近よく取り上げられるのは、シェア3位のDrupalです。つい先日も深刻な脆弱性が発見され、まず予告として修正プログラムの適用依頼が周知されたあと、脆弱性の内容が明らかになりました。もちろん、同時に攻撃も観測されています。

Drupalに「極めて重大な脆弱性」、29日のセキュリティリリースを予告 - ITmedia エンタープライズ
Drupal の脆弱性（CVE-2018-7600）に関する注意喚起
　ポイントはその攻撃の速さです。Drupalが「極めて重大な脆弱性」を予告したのが2018年3月21日で、修正プログラムが公開されたのは3月28日。しかし、4月上旬には早くもこの脆弱性を狙ったアクセスが観測され、現在では脆弱性が残るDrupalサイトに「クリプトジャッキング攻撃」と呼ばれる、仮想通貨の採掘をさせる仕組みを不正に埋め込むなど、より具体的で実践的な攻撃さえ行われています。

だからCMSは狙われる WordPressやDrupalに攻撃が相次ぐわけ (1/2) - ITmedia エンタープライズ