Sony
Sony
Webサイトのセキュリティ

トピックス 2019.07.02 WordPressサイトが改ざんされた?!改めて気を付けたいWebサイトセキュリティの注意点

悪意のある攻撃者によってWordPressサイトを改ざんされると、ホームページを書き換えられたり、データを盗まれたり、場合によってはウイルスをばらまかれたりしてしまいます。

2017年には、なんと150万を超える世界中のWordPressサイトが改ざんの被害にあう事件が起こりました。

そのような被害に遭わないためにも、どのような手法で攻撃が行われるのかを学び、日頃からしっかりとした対策を行っておくことが重要です。

WordPressとは?なぜ狙われるのか?

そもそもWordPressとは、ブログやホームページを作成することのできるソフトのことで、今や世界中のWebサイトの3分の1はWordPressで作られていると言います。

日本国内でも個人だけでなく、企業や公共機関のサイトなどにも使われているWordPressですが、それだけ人気があるということは攻撃の標的にされやすいということでもあるのです。

また、WordPressのソースコードは誰でも自由に改良できるように無償で公開されており、一定のITスキルを持った人物であればソフトの弱点を悪用して攻撃することができてしまうため、WordPressを使う際には常にセキュリティ対策をセットで考えておく必要があります。

WordPressサイトへの主な攻撃手法

WordPressサイトのセキュリティ対策

すべてのWordPressサイトは常に様々な攻撃を受ける可能性があります。どのような手法があるのか代表的なものを見ていきましょう。

不正ログイン

1つはサイトの管理用ログイン画面から、不正にログインを行ってサイトの中身の書き変えや乗っ取り、個人情報の悪用を行うパターンです。

手口としては、ツールを使ってID・パスワードの組み合わせを推測する方法や、ウイルスなどでログイン情報を盗んで悪用するといった方法が一般的です。

最悪の場合には、ログインパスワードを変更されて自分ではサイトにログインできなくなってしまうケースも存在します。

HTML / SQLインジェクション

インジェクション(injection)とは、注射などのように何かを注入することを意味する言葉ですが、ウェブサイトの表示やデータベース内の検索を行うコマンドに不正な処理を紛れ込ませる攻撃手法が存在します。

インジェクション攻撃を受けるとページ内のリンクが改ざんされたり、フォームで送信される個人情報や顧客データなどの機密情報が漏洩してしまう危険性があるのです。

ゼロデイ攻撃

WordPressのプログラムや拡張機能であるプラグインに何かしらの脆弱性が発見された際、何か対策が行われるよりも前にその脆弱性を悪用して攻撃を行う手法をゼロデイ攻撃と呼びます。

実際にどのような脆弱性に対しての攻撃なのかは事前に想定することができないため、行われる攻撃に対してあらかじめ準備を行っておくことは難しいのが特徴です。

WordPressの改ざんを防ぐための対策5選

WordPressサイトのセキュリティ対策

ユーザー名/パスワードの強化

まず、不正ログインを防ぎ、サイトの管理者アカウントを乗っ取られないようにするための最も基本的な対策は管理者アカウントのユーザー名やパスワードを強化することです。

WordPressの初期管理アカウントのユーザー名は「admin」となっていますが、別の名前で管理者アカウントを作成し、「admin」アカウントは削除してしまいましょう。パスワードも推測されやすいものは避けて、英数字や記号を組み合わせた複雑な文字列にします。

WordPressやプラグインの最新化

WordPressの本体やプラグインは、何かの不備や不具合が発見されるとその度に随時アップデートされたプログラムが公開されます。

アップデートの情報はWordPressの管理画面に通知されますので、この通知を元にプログラムを常に最新な状態に保つように心がけましょう。

使用していないプラグインは削除する

プラグインはサイトを作っているうちにどんどん増えてしまいますが、中には一度ダウンロードしたものの使わなくなるプラグインも多々あります。

そういった場合には、プラグインの脆弱性に対する攻撃を予防するために定期的にチェックをして使っていないプラグインは削除しましょう。

重要な設定ファイルにアクセスされないようにする

WordPressのプログラムの中には「wp-config.php」という名前の設定ファイルが存在します。これはWordPressの動作に関する様々な設定を行うファイルで、中にはデータベースの管理情報などが記載されているため外部からのアクセスできないようにしておく必要があります。

そのためには「wp-config.php」を開いたり編集したりするときの権限設定をWordPress.orgの推奨値である「600」に変更することで対応できます。同様に「.htaccess」の権限設定も「606」に変更しておきましょう。

セキュリティを強化するプラグインの利用

WordPressでは、セキュリティ強化に役立つプラグインが数多く公開されています。

「All In One WP Security & Firewall」や「SiteGuard WP Plugin」などが代表的ですが、こういったプラグインを利用することで、ログイン画面のセキュリティ機能を高めたり、外部からの不正なアクセスを防ぐ簡単なファイアウォールを設定したりすることができるので積極的に活用しましょう。

終わりに

WordPressのセキュリティについては「自分のところはアクセス数も少ないから大丈夫だろう」とついついたかをくくってしまいがちですが、数あるユーザーの中でもセキュリティ対策をおろそかにしているユーザーこそ、攻撃者にとって格好のターゲットとなってしまいます。

WordPressは悪意ある第三者によって常に狙われているものと考えて、セキュリティ対策をしっかりと行った上で安心してサイト運営を行いましょう。

TEXT:セキュリティ通信 編集部
PHOTO:iStock

あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト

カスペルスキー

この記事を気にいったらいいね!しよう

セキュリティ通信の最新の話題をお届けします。

ページトップ