WordPressのセキュリティ被害の原因及び対策について
WordPressはCMSにおいて簡単にブログやホームページが作成できる世界No.1シェアのユーザーをもっています。
WordPressが利用されている割合は、W3Techsの調査によると、2022年6月現在、世界中に存在するCMSの64.1%ものシェアを占めます。
シェア率が高いということは、それだけ利用しているユーザーが多いということであり、攻撃するスキさえ見つけられれば、日本だけはなく、世界中の悪意のあるハッカーから「脆弱性」を狙われて攻撃されてしまうというリスクがあります。
近年、WordPressに対する攻撃が急増しており、しっかりとしたセキュリティの管理をしなければなりません。
ブログやホームページ作成がメインになりがちで、セキュリティ対策となると後回しになることもあるのではないでしょうか。
実際にWordPressが乗っ取り、改ざんされたということは珍しくありません。
そこで今回は、WordPressのセキュリティ被害の原因及び対策について解説します。
アカウントの乗っ取り
アカウントの乗っ取りは、ユーザーIDとパスワードが不正に利用されることで発生します。
私たちが利用しているサイトのIDが何らかの手法によって攻撃者に知られた場合、攻撃者はパスワードに何が設定されているかを特定してきます。
この攻撃を受けることで不正にログインされ、IDとパスワードを変更されて、ログインできなってしまいます。サイトが乗っ取られてしまうということです。
こうなると、せっかく作ったサイトにログインできなくなるばかりでなく、管理者のメールアドレスに大量のスパムメールや身に覚えのない請求が届いたり、被害が拡大する恐れがあります。
WordPressが攻撃される原因として、以下の点が挙げられます。
- 分かりやすいユーザー名とパスワード
これは、最もありがちな原因の1つです。WordPressのサイトを作成した時に自動的に「admin」アカウントが設定されます。
そのため、誰もが知るアカウントとパスワードを利用すると乗っ取りリスクが高まるため「admin」アカウントをそのまま使うことは避け、パスワードも「password」等の利用は避けましょう。 - ブルートフォース攻撃
パスワードの特定の文字で設定される可能性のあるすべての組合せを試すことで不正ログインを試みる攻撃手法(総当たり攻撃)です。
パスワードが短く、使用可能な文字種が少ない場合には、この手法によって破られる可能性が高くなってしまいます。 - リバースブルートフォース攻撃
パスワードの代わりにIDを総当たり入力するリバースブルートフォース攻撃があります。
この手口は多くの人が使いがちな単純なパスワードに、攻撃者が持つIDのリストを次々試して不正ログインを図るものです。
WordPressで利用するアカウントでは、以下の点に注意することがセキュリティ対策となります。
- ユーザー名、パスワードを複雑にする。
WordPressでは任意にアカウントを追加できますが、アカウント名やパスワードはできるだけ長く、英字の大文字と小文字、数字、記号を混在させたものにします。
なぜなら、簡単なアカウント名やパスワードは推測できるため、アカウントの乗っ取りリスクが高まるからです。 - 管理者権限アカウント管理を徹底にする。
管理者権限はWordPressのすべての操作ができるアカウントです。こちらが漏れてしまうと、サイトをどうにでもされてしまいます。
管理者権限アカウントを乗っ取られると、あらゆる不正を許してしまうことになります。
そのため、管理者権限のアカウントは社内の最小限のメンバーが厳正に管理して責任をもってルールを守ることを徹底しましょう。
Webサイト・データの改ざん
Webサイト・データの改ざんとは、文字通りWebサイトを改ざんされ、所有者の意図しない内容に書き換えられてしまうことです。
たとえば、スパムサイトやマルウェアサイトへのリンクが埋め込まれたり、外部サイトを表示させられたりします。
また、悪意あるスクリプトを埋め込まれることで、Webサイトの訪問者が被害を受けることもあります。
バックアップを取っていないままサイトが改ざんされてしまうと元に戻すことは不可能であるため、かなり深刻な問題と言えるでしょう。
WordPressは自由度が高くオリジナルのサイトを作成しやすいので、ブログだけではなくホームページを作成している人もいると思います。
WordPressのテーマやプラグイン、投稿記事一覧や固定ページ一覧の情報は、サイトのデータベースに保管されます。そのデータを書き換えられることで、被害が発生します。
被害が発生すると勝手に見た目が変わったサイトになっていたり、サイトにアクセスできなくなる場合もあります。
WordPressが攻撃される原因として、以下の点が挙げられます。
- サービス拒否(Dos)攻撃
WebサイトまたはWebサーバーをシャットダウンし、単一のホスト(IPアドレス)からの無用なトラフィックで溢れさせて、アクセスできないようにする攻撃です。 - クロスサイトスクリプティング(XSS)
悪意のある不正なスクリプトをサイトに埋め込みます。 - SQLインジェクション
データベースシステムを不正に操作します。
これらの攻撃を一手に防ぐためには、WAF(Webアプリケーションファイアウォール)というセキュリティ対策が効果的です。
WAFには外部からの不正アクセスを遮断する機能が搭載され、サイトへの攻撃を未然に防ぐことが可能になります。
既存ファイルの削除、不正ファイルの追加
既存ファイルが削除されていたり、身に覚えのないファイルが追加されていたら、これはハッキングの兆候です。
FTPソフトでサイトのサーバーにアクセスして、WordPressに設置されているフォルダやファイル名はある程度決まっており、一番上の階層を確認できます。
そのファイルが削除されたり、未知のファイルがアップロードされる被害もあります。
不正ファイルを追加されることで、大量のページや不正なページが発生するとサーバーへの負荷やリスクが高まります。
サーバー側では、強制的にハッキングされたサイトの表示に制限をかけるケースがあり、ログイン情報を求められたりサイトに接続しても404エラーが表示されます。
攻撃される原因として考えられるのは、ディレクトリトラバーサル攻撃です。
ディレクトリトラバーサル攻撃とは、サーバー内の非公開ディレクトリへ不正アクセスする攻撃です。個人情報や企業データの漏洩や流出などの被害が予想されます。
対策としては、各ファイル・ディレクトリに対してアクセス権を付与しましょう。第三者がアクセスできないように設定することが対策の第一歩となります。
また、外部から入力されたパラメータでのファイル参照を許可しないこと、公開する必要のないファイルはサーバー上に置かないこと、などが有効です。
不要な機能の無効化
元々、WordPress はブログをメインにしたCMSになっているので、投稿した記事に対しコメント機能が入っています。
そのコメント機能は、サイト用途に応じて不要になることが多いことと、上記に記した対策にもつながるため、コメント機能を無効化するなどの措置を行う必要があります。
