WordPress セキュリティ上危険な運用ランキング TOP5

ワードプレスのハッキング被害はワードプレスが全世界で多くのサイトで使われるようになってきてから所感としては非常に多くなっていると思います。ここではハッカーに最も狙われやすい運用上危険な行為をランキング形式でご説明したく思います

５位ーログイン画面とxmlrpc.phpに何度でもアクセスできる

ハッカーはログイン画面とxmlrpc.phpというファイルにワードプレスの管理者権限を乗っ取るために、ログインIDとパスワードの総当たり攻撃を仕掛けてきます。
ログイン画面への総当たり攻撃を防ぐには、limit login attemptなどの数回ログインに失敗するとIPをはじくプラグインを入れ、xmlrpc.phpにはhtaccessファイルを編集して外部からアクセスできないようにする事が望ましいです。

４位ーテーマやプラグインを管理画面から編集できるようにパーミッションを甘く設定している

ワードプレスのテーマやプラグインは、パーミッションを書き込み可にすると、管理画面から編集できるようになります。しかし、この状態は便利ではありますがセキュリティー上は好ましくありません。パーミッションをきつめに設定し管理画面から編集できないようにしましょう。

３位ーワードプレスのプラグインを一年以上更新していない

ワードプレスのハッキングの８％はプラグインの脆弱性をついたものです。特に著名なプラグインはターゲットになりやすく多数のワードプレスにインストールされているプラグインほど最新バージョンに保つ事が重要です。

２位ーワードプレスのバージョンが３．５以下で運用されている

ワードプレスの本体は、プラグインよりハッカーに研究し尽くされています。古いワードプレスは脆弱性が明らかになっているものが多く、この脆弱性を放置しているとクロスサイトサイトスクリプティングやスパムメールの踏み台、マルウェアの埋め込みなど、サイトの訪問者にも被害が及ぶような改変をプログラムのコードに仕込まれる事も少なくありません。ワードプレスは最新バージョンを保つようにしましょう。

１位ーユーザー名がadminかつパスワードが英単語のみ

ワードプレスがハッキングされる２２％の原因はIDとパスワードが弱い事です。ハッカーはよく使われる管理者IDとパスワードの辞書を駆使して、それを何度もログイン画面にプログラムで入力して管理者権限を奪取してきます。管理者のユーザー名は造語にし、またパスワードは英数字を含む１２文字以上のものにしましょう。

WordPress セキュリティ対策はWPドクターにご依頼ください