WordPressは世界のウェブサイトで使われている CMS のうち最も使われているCMSであるため、悪質なハッカーの標的になりやすいです。
ハッカーが多いということは仕掛けてくる攻撃の数も多いということであり、中には有名なテーマやプラグイン脆弱性を突いた攻撃でWordPressを乗っ取ろうとしてきます。
自分は大丈夫と思っているといつのまにかハッキングされて乗っ取られて取り返しのつかない事になってしまうかもしれません。
今回は、
- WordPress がハッキング・乗っ取られて改ざんされてしまう原因
- ハッカーが WordPress を乗っ取る理由
- WordPress のセキュリティを高める方法
の3つを解説していきます。
WordPressがハッキング・改ざんされてしまう原因
不正なテーマ・プラグインを導入した
有料のテーマやプラグイン無料で配布していたサイトを見つけた場合、絶対に触らないようにしましょう。
そういったサイトで配布されているのはバックドア仕掛けるための不正なテーマである可能性が高く、WordPressが乗っ取られる可能性が高いです。
バックドアとはサイバー攻撃の手段の一つ。システムに侵入しやすい入り口を作っておくことでハッカーが攻撃しやすくなる環境を整えてしまうことです。
テーマやプラグインを管理者が自発的にインストールするものであり、インストール直後に何らかの処理を実行することも可能です。その処理に改ざんするためのコードが含まれていた場合、すぐに WordPress が乗っ取られてしまうでしょう。
長期間更新されていないテーマ・プラグインを使っている
WordPressのテーマやプラグインはどうしても脆弱性(セキュリティ上の欠陥)が出やすいです。そのためテーマやプラグインを開発している方は日々セキュリティ上の欠陥がないかどうか調べて、問題が見つかればすぐに修正してアップデートをかけていますが、長らく更新されていないテーマやプラグインにはそういったことがありません。
単純なパスワードを使っている
WordPress管理画面にログインしやすいように覚えやすくて文字数が少ないパスワード設定している方は結構いるかと思います。そういったパスワードはほとんど意味がなく、ブルートフォースアタックで簡単に突破されてしまいます。
WordPress管理画面にアクセスできてしまうということは、テーマやプラグインのコードを改ざんできてしまうためWordPressをそのまま乗っ取られてしまいます。乗っ取られるとフィッシングサイトの踏み台にされるなど、いいことは何一つありません。
リスクのあるプラグインをインストールする
悪意をもって作られたものではないものの、WordPress からあらゆるファイルをアップロードできるようにするプラグインを導入した場合は危険です。
それとプラグインはもちろん不正アクセスされないように対策されていることがありますが、管理画面に不正ログインされた場合だと話が変わってきます。
基本的にそういったアップロード機能を使いやすくする(制限を少なくする)プラグインはリスクが高いので使わないほうがいいでしょう。
最近のレンタルサーバーは、サーバー側が用意したファイルマネージャーが用意されています。ファイルマネージャーを使えばFTPクライアントなどを使わずにファイルを自由にアップロード・ダウンロードできるので、画像や動画などWordPressに対応しているメディアファイル以外はそちらは使いようにしてください。
SQLインジェクション攻撃を受けた
SQLインジェクションとは、検索フォームなどから不正なコードを送信し、そのコードをサーバーで実行させるハッキング手法です。
WordPressが乗っ取られる一番の原因であり、いかにSQLインジェクション対策をするかどうかが大切です。
また、SQLインジェクションと同じようにハッキングに使われやすいクロスサイトスクリプティングも要注意です。
要注意と言っても素人からするとどう対策すればいいのかわからないので、具体的な対策方法は後ほど解説しています。
ハッカーがWordPressを攻撃して乗っ取る理由
そもそもなぜハッカーは他人のWordPressを攻撃して乗っ取ろうとするのでしょうか。その理由はもちろんあります。
フィッシングサイトへの誘導・踏み台にする
よくあるのがフィッシングサイトへの踏み台にされてしまうことです。
ハッカーが乗っとる前のサイトは正常な状態だったのでGoogleの検索結果にもしっかり表示されますしアクセスも入ってきます。
ですが、ハッカーに乗っ取られてしまうとそれらのアクセスを全てリダイレクト機能でフィッシングサイトに飛ばされてしまい、自分のサイトにアクセスしてきてくれたユーザーが被害に遭ってしまいます。
こうなってしまうと起きる問題がGoogleからのペナルティです。フィッシングサイトへの誘導に使われたということは自分おサイトは危険なサイトということになるため、Google検索結果から削除されていきます。
そうなってしまうとせっかく順調にアクセスを伸ばしていたサイトもアクセスがゼロになってしまい、収入もなくなってしまうでしょう。
不正なプログラムダウンロードの踏み台にする
乗っ取ったウェブサイトにマルウェアなどの不正なソフトウェアを仕込んでダウンロードさせる目的でWordPressを乗っ取ることもあります。
これもフィッシングサイトへの誘導と同じく、自分のサイトがウイルスサイト・危険なサイトと認識されてしまうため、Googleからはペナルティを受けることはもちろんのこと、強制的にウェブサイトを削除されてしまう可能性もあります。
データを盗み出す目的
WordPressのデータベースに不正アクセスして、アクセスログやユーザーアカウントデータなどの重要なデータを盗み出す目的でハッキングすることもあります。
会員制サイトを構築していない小規模な個人ブログであれば被害はないようなのものですが、法人サイトや会員制サイトを構築できるプラグインを使ってユーザーアカウントを管理している場合などはかなり問題になってきます。
WordPressがハッキングされたことによって機密情報が漏えいした場合、ハッキングされたサイトの管理人は被害者ということになりますが、盗まれたデータにユーザーアカウント情報などの個人情報が含まれていた場合は罰則や損害賠償を請求されることがあります。
被害者なのに罰金を支払うという最悪の事態を招いてしまうため、個人情報を扱う場合はしっかりセキュリティ対策をしないと後悔することになります。
単なるイタズラ・自己満足
被害にあったWordPress運営者からすると一番軽症で済むパターンですが、自分の実力を試すためにウェブサイトハッキングするということは珍しい話ではありません。
WordPressが乗っ取られないように対策する方法
ログインパスワードを難しくする
今使っているログイン用パスワードが以下のいずれかに当てはまる場合はすぐに変更しましょう。
- 全て数字
- 英単語一文字
- 12文字未満
いずれかに当てはまる場合はブルートフォース攻撃(総当たり攻撃)でパスワードが特定されてしまい、管理画面に不正アクセスされてしまう可能性があります。
ログインページの URL を変更する
WordPressをターゲットにした攻撃のほとんどは自動化されたBOTによるものです。WordPressのログインページ URL はフォーマットが決まっているためパスワード攻撃しやすく、あまり良い状態でもありません。
ログインページの URL は後述するセキュリティプラグインなどで変更できます。
ログインページURLを変更した後は必ず変更先のURLをブックマークしておいてください。ブックマークせずにログインページの URL を忘れてしまうとログインする手段を失ってしまいます。そうなるとサーバーにアクセスしてプラグインファイルを削除する必要出てくるので注意しましょう。
二段階認証を導入する
ログインページにreCaptchaを使った二段階認証を導入するのもおすすめです。reCaptchaを導入すると自動プログラムによるパスワードアタックが難しくなり、ログインパスワードが特定される可能性を大きく減らすことができます。
ちなみにreCaptchaとはこれのことです。
あるのと無いのとでは大違いなので、必ず導入しておくようにしましょう。
セキュリティプラグインを使う
一番簡単かつ本格的なセキュリティ対策はセキュリティプラグインを導入することです。セキュリティプラグインを導入することで、以下の対策が行えます。
- ログインページ URL の変更
- ログイン試行回数の制限
- IPアドレス制限
- 画像認証の追加
- ログインアラート
- ファイル変更の自動検出
このようなことをプラグインひとつでできてしまいます。無料プラグインでもできることなので、とりあえず何でもいいから今すぐセキュリティ対策をしたいという場合はセキュリティプラグインの導入をおすすめします。
SiteLockを導入する
WordPressを含むWebサービス・アプリの脆弱性診断・改ざん監視・マルウェアの検知・自動駆除などを行えるSiteLockをを導入するのも一つの手です。
SiteLockを導入しておけば、マルウェアなどのウイルスが見つかればすぐに削除されますし、SQLインジェクションなどWordPress改ざんに使われやすい攻撃もブロックしてくれます。
- WordPressの脆弱性チェック
- SQLインジェクション脆弱性のチェック
- マルウェア検知・駆除
- クロスサイトスクリプティング脆弱性のチェック
- 不正なコードの検知
- セキュリティのアドバイスを受ける
WordPressのセキュリティプラグインでは対策できることに限界があり、マルウェアなどの検知はできても削除できないということが多いので、本格的なセキュリティ対策を行いたい場合はSiteLockが現状のベストでしょう。
SiteLockは1,200万以上のサイトで実際に導入されているセキュリティサービスであり、月額667円から利用できることも魅力でしょう。本格的なセキュリティサポートとなると月額5000円・1万円~はくだらないことが多いですし、専門業者に委託すると初期費用で数十万円・月額維持費で数万円請求されることがよくあります。
一般個人の WordPressブロガーがハッキング被害に遭わないように本格的な対策をするにはちょうどいいコストパフォーマンスでしょう。
マルウェア自動検知&脆弱性診ならSiteLock(サイトロック) | バリュードメイン
WordPress本体・テーマ・プラグインは常に最新バージョンを維持する
使用しているWordPress・テーマ・プラグイン全て最新バージョンを維持するようにしてください。
バージョンアップは機能追加や改良だけでなく、セキュリティ上の不具合の修正が含まれていることがよくあります。
プラグインによっては頻繁にアップデートが配信されていて徐々にアップデートが面倒になってくる場面が出てきますが、細かなアップデートは不具合修正やセキュリティ上の欠陥(脆弱性)の修正であることが多いので、テーマやプラグインの更新があったらすぐにアップデートするようにしてください。
VPSユーザーは要注意
KUSANAGIを導入している方やサーバー費用を少しでも変えるためにVPSを契約している人は注意が必要です。
共用レンタルサーバーであればレンタルサーバー事業者が全て管理しているのでサーバーハッキング対策(SSH対策など)個別にする必要は滅多にありませんが、VPS利用者は適切にSSHの管理などを行わないとサーバーの管理権限を乗っ取られてしまう可能性があります。
サーバーの管理権限を乗っ取られるとWordPressを含むあらゆることが制御不能になり、サーバーを停止する以外対処方法がなくなってしまいます。
サーバーが乗っ取られて負荷がかかる処理(仮想通貨マイニングなど)やフィッシングサイトへの誘導に使われて、それをVPS事業者が検知した場合、強制的にサーバを停止させられた後に契約を解除させられる可能性があります。
ハッキングされていい事は何一つないのでVPSユーザーは注意しましょう。
セキュリティ対策は怠らない
WordPressは非常に便利であり、利用者が最も多いブログシステムですが、そのぶん攻撃対象が多いことを利用してハッカーも狙っています。
- 自分はアクセスが少ないから大丈夫
- 自分のサイトを攻撃する人はいないだろう
という考えは絶対にやめましょう。自分のサイトを攻撃してくるのは無作為にWordPressサイトを検出して攻撃する自動プログラムがほとんどなので、ウェブサイトのアクセス数が少ないか多いかは関係ありません。
月間PV0のサイトでもハッキングされる時はされます。
ハッキング被害を防ぐためにはセキュリティプラグインを導入してログイン対策などを行ったり、SiteLockを導入して本格的にWordPressのセキュリティを高めに行くなどをしておくと、ハッキング被害に遭う可能性を限りなくゼロに近づけるので、絶対にセキュリティ対策を怠らないようにしてください。