WEBコンサル

WordPressの不正改ざんの内容と対策方法

こんにちは、株式会社ソライルの波多野です。

WordPressで構築したWebサイトは、不正改ざんなどの攻撃を受けやすいため、その手口を知っておくと共に、あらかじめ不正改ざんされないよう、対策をしておくことがとても重要です。

そこで今回は、WordPressを不正改ざんされてしまうとどのような被害を受けることになるのか、その被害の具体的な内容やハッカーの手口、そして、最も重要なハッカーからの攻撃を避け、Webサイトを不正改ざんから守るための方法について解説します。

不正改ざんをされてしまうと、その被害は想像以上に甚大です。
もしまだ何の対策も行っていない場合は、このコラムを読んで、今すぐ対策を行ってください。

なぜWordPressが狙われやすいのか

WordPressのシェア率は、2021年6月時点で全世界のWebサイトの41.5%を占めています。
また、CMSの中では64.9%の利用率を占めており、全世界で圧倒的にWordPressが利用されていることがわかります。(※)

つまり、利用者がこれだけ多いため、残念ながらハッカーにも狙われやすいということなのです。

また、WordPressのメリットと言える誰でも自由にソースコードを改良できるよう無償で公開されている点が、ともすると仇となり、スキルの高くない開発者がプラグインやテーマを開発し、配布しているケースも多いため、その弱点を突かれ攻撃されやすい状況を物理的に生み出していると言えます。

そのため、WordPressを利用してWebサイトの構築を行う場合は、必ずセキュリティ対策についてもセットで考える必要があるのです。

(※)参考:W3Techs – World Wide Web Technology Surveys「Usage statistics of content management systems」

WordPressの不正改ざんをするハッカーの目的

WordPressの不正改ざんを行うハッカーの目的は何でしょうか。

主な目的は、以下のような内容が上げられます。

・企業がユーザーから取得した個人情報の収集
・商品購入時に登録したクレジットカードの情報収集
・政府機関などの機密情報の収集
・企業や個人サイトへの嫌がらせ
など

クレジットカードの情報を含め、名前や住所などの個人情報は特に狙われやすく、ハッカー自身が利用する目的だけでなく、奪取した情報の売買で利益を得ることを目的にしている場合もあります。

いずれにせよ、ハッカーからの攻撃をしっかりと防御しなければ、甚大な被害を受けることになります。

WordPressの不正改ざんにより受ける被害内容

WordPressで構築したWebサイトを不正改ざんされてしまった場合、どのような被害を受けることになるのかを具体的にご紹介します。

Webサイトの乗っ取り・改ざん

ハッカーによるWebサイトの改ざんが行われると、Webサイトを乗っ取られたり、内容を改ざんされる被害があります。

Webサイトが乗っ取られると、サイトの中身を意図しない内容に変えられたり、望まない情報を流されたりしてしまいます。

悪意ある情報を流されてしまうと、個人サイトであれ企業サイトであれ最悪な場合はユーザーからの信頼を失い、運用しているWebサイトの継続ができなくなってしまう場合もあります。

個人情報の流出

WordPressの不正改ざんをするハッカーの目的でも説明したとおり、ハッキングを行うことで、

・企業が収集した会員などの個人情報の収集
・商品購入時に登録したクレジットカードの情報収集

など、大切なユーザーの個人情報を不正に抜き取られてしまうという被害を受ける場合があります。

ハッキングの主な方法は、

・Webサイトがサーバーに保有している個人情報を不正に取得する
・ユーザーのパソコンやスマホなどのデバイスをマルウエアに感染させ、個人情報を不正に取得する
・Webサイトを改ざんし、ユーザーに個人情報を入力させて不正に情報を取得する

といったものがあります。

いずれにせよ、ユーザーに与える被害は甚大であり、場合によっては訴訟問題になる可能性もあります。

ウイルスの拡散

Webサイトの不正改ざんを行って、サイトにアクセスしたユーザーのパソコンやスマホをウイルス感染させたり、ファイルをダウンロードさせたりすることによりウイルスを拡散させるといった被害を受ける手法です。

例えば社内のパソコンが1台ウイルスに感染してしまうと、そのパソコンだけではなく、あっという間に社内の他のパソコンなどにも感染させてしまったり、取引先のお客様にもまき散らしてしまったりする危険があります。

企業イメージの失墜・損害賠償被害

Webサイトの不正改ざんにより個人情報の漏洩などを起こしてしまった場合、セキュリティ対策を万全に行っていなかったとして企業側も責任を問われることになります。

場合によっては巨額の損害賠償を請求される場合もあり、金銭的にも企業イメージ的にもダメージは大きなものとなりますし、その信頼を取り戻すには、長い時間と労力、そしてお金が必要となります。

検索結果上位表示の大幅ダウン

Webサイトの不正改ざんにより危険なサイトであるとGoogleが判断した場合、ブラックリストに掲載され、検索結果から除外される場合があります。

もしも検索結果で上位表示されており、そこからの流入によりサイトトラフィックを獲得していた場合は、大きな売上損失にもつながるでしょう。

Googleのブラックリストから除外してもらうための申請を行うことはできますが、検索結果の上位に再び表示させることは簡単ではありません。

WordPressの不正改ざんを行うハッカーの手口

不正改ざんが行われた場合の被害内容がわかったところで、今度はハッカーがどのような手口でWordPressの不正改ざんを行うのかをご紹介します。

不正ログインによる不正改ざん

WordPressの管理画面から不正にログインして、改ざんを行う手口です。

攻撃方法には、全文字列の組み合わせを自動的に当てはめて攻撃する「ブルートフォースアタック (総当たり攻撃)」や、使用率の高いIDやPWのリストを自動的に当てはめて攻撃する「パスワードリスト攻撃(リスト型攻撃)」などがあります。

一見、闇雲な攻撃のように見えますが、簡単なID・PWの組み合わせを設定しているユーザーはとても多いため、意外とすぐに突破されてしまうWebサイトが多いのです。

最悪の場合、ハッカーがID・PWを変更してしまい、本来のWeb管理者がログインできなくなるといった事態も起こっているので注意が必要です。

HTML/SQLインジェクションによる不正改ざん

Webサイトのページに掲載されているリンクや問い合わせフォームなどに不正な処理を紛れ込ませることにより、ユーザーが送信した個人情報を抜き取ったり、データベースに保存されている機密情報や個人情報を抜き取ったりするサイバー攻撃の方法です。

個人情報漏洩に繋がる不正改ざんであり、被害を受けた際のダメージは大きなものとなりかねません。

クロスサイトスクリプティング(XSS)による改ざん

プログラムの脆弱性をついたサイバー攻撃です。
その名のとおり、Webサイトを横断させ、攻撃を行う手法です。

例えば、問い合わせフォームやコメント機能のあるリンクに罠を仕掛け、ユーザーが何らかのコメントを記載し、送信ボタンをクリックすることで、罠が実行されます。
罠が実行されると、ユーザーは意図しない別サイトへ飛ばされ、ユーザーが利用しているデバイスにマルウエアを送り込まれたり、個人情報の入力を促され、マルウエアを除外するために金銭の振り込みを要求されたりする被害を受けます。

WordPressの不正改ざんを防ぐ方法

WordPressでどのような不正改ざんが行われるのかがわかったところで、ここからは被害にあわないための方法を解説します。

不正改ざんからWebサイトを守るためには、これからご紹介する防御方法のうち、どれか一つの方法を行っておけば良いということではありません。
一つでも対応できてないものがあれば、読み終わった後すぐにでも対応を進めてください。

ユーザーIDとPWを複雑なものに変更する

もしもユーザーIDやPWを簡単なものや、他のサイトの使いまわしのもので設定している場合は、今すぐ複雑なもの、ユニークなものに変更してください。
万が一ユーザー名を「admin」などのデフォルト設定のまま使用している場合はとても危険です。

①ユーザー名はユニークなものに変更。「admin」は削除すること。
②パスワードは、数字、アルファベットの大文字・小文字のミックス、記号などを混ぜた「意味をもたない文字列」に設定すること。

WordPressに関するすべてのバージョンは常に最新にする

WordPress・プラグイン・テーマのバージョンは、常に最新のバージョンにしてください。
古いバージョンのものを使っている場合、ハッカーの攻撃対象となります。

また、使っていないテーマやプラグインは、WordPressが不具合を起こす原因にもなりやすいため、必要のないものは削除しましょう。

あわせて読みたい
WordPressのプラグイン管理方法と注意点

ファイルごとにパーミッション設定を行う

「.htaccess」「wp-config」といった重要なファイルは、パーミッションと呼ばれる権限管理をしっかりと行いましょう。

重要なファイルにしっかりとパーミッションを設定しておくごとで、悪質な編集を行われないよう防御しておくことができます。

アクセス権限の管理を徹底する

ハッカーの攻撃は、主に海外からのものが多いため、あらかじめWordPressにアクセスできるIPを社内のIPアドレスのみに限定したり、海外からのアクセスを拒否したりするといったアクセス権限の管理を徹底しておくことで、不正改ざんからWebサイトを守ることに役立ちます。

セキュリティ強化のためのプラグインを使用する

WordPressは、ハッカーによる攻撃を受けやすいことがわかっているため、不正改ざんからWebサイトを守るためのプラグインが多数用意されています。

セキュリティ対策ができるプラグインを利用することで、Webサイトのセキュリティをより強化することができるため利用することも検討してみると良いでしょう。

おすすめのプラグインは下記ページで紹介しているので、参考にしてみてください。

あわせて読みたい
【2020年】WordPressセキュリティ対策とおすすめプラグイン

使用PCのセキュリティ対策も行う

WordPressだけではなく、使用しているPCやスマホもウイルス感染の危険があります。

そのため、WordPressに関する対策だけではなく、PCやスマホもセキュリティ対策ソフトをインストールしておくなどの対策をとっておくことが重要です。

WordPressの不正改ざんの内容と対策方法まとめ

WordPressは、いつハッカーから狙われるとも限りません。
しかし、しっかりと対策を行っておくことで、不正改ざんを未然に防ぐことができるので、もしもまだ何の対策もしていない、あるいは対策できていない項目がある場合は、すぐに対応を行うことをおすすめします。

また、何か起きてしまった時にすぐにWebサイトを回復できるよう、定期的にサイトのバックアップをとっておくことは必須です。

WordPressでWebサイトを運用している限り、WordPress自体はもちろん、プラグインやテーマなども常に最新の情報を収集し、バージョン管理をしておくことが大切です。

しかし、もしも自分で保守管理をすることが難しい場合は、外部に依頼するのがおすすめです。
ソライルでは、3つのプランで保守対応を請け負っています。

例えば、サーバー管理やドメイン管理のみといった簡易な保守対応から、WordPressのアップデートごとの対応や、定期的なバックアップ対応などを含む大変お得なプラン、また、必要に応じてページの編集対応などもおこなう+αのメリットがあるプランなど、自社のWEBサイトにあった保守内容にてご利用いただくことができ便利です。

ソライルでのWEBサイト保守対応プランについては、下記ページで詳しくご紹介しているので、ぜひご覧ください。

保守対応プラン
(※クリックするとGoogleドキュメントが開きます。)

お問合せ