ワードプレスのハッキング被害はワードプレスが全世界で多くのサイトで使われるようになってきてから所感としては非常に多くなっていると思います。ここではハッカーに最も狙われやすい運用上危険な行為をランキング形式でご説明したく思います

Steal_password

5位ーログイン画面とxmlrpc.phpに何度でもアクセスできる

ハッカーはログイン画面とxmlrpc.phpというファイルにワードプレスの管理者権限を乗っ取るために、ログインIDとパスワードの総当たり攻撃を仕掛けてきます。
ログイン画面への総当たり攻撃を防ぐには、limit login attemptなどの数回ログインに失敗するとIPをはじくプラグインを入れ、xmlrpc.phpにはhtaccessファイルを編集して外部からアクセスできないようにする事が望ましいです。

4位ーテーマやプラグインを管理画面から編集できるようにパーミッションを甘く設定している

ワードプレスのテーマやプラグインは、パーミッションを書き込み可にすると、管理画面から編集できるようになります。しかし、この状態は便利ではありますがセキュリティー上は好ましくありません。パーミッションをきつめに設定し管理画面から編集できないようにしましょう。

3位ーワードプレスのプラグインを一年以上更新していない

ワードプレスのハッキングの8%はプラグインの脆弱性をついたものです。特に著名なプラグインはターゲットになりやすく多数のワードプレスにインストールされているプラグインほど最新バージョンに保つ事が重要です。

2位ーワードプレスのバージョンが3.5以下で運用されている

ワードプレスの本体は、プラグインよりハッカーに研究し尽くされています。古いワードプレスは脆弱性が明らかになっているものが多く、この脆弱性を放置しているとクロスサイトサイトスクリプティングやスパムメールの踏み台、マルウェアの埋め込みなど、サイトの訪問者にも被害が及ぶような改変をプログラムのコードに仕込まれる事も少なくありません。ワードプレスは最新バージョンを保つようにしましょう。

1位ーユーザー名がadminかつパスワードが英単語のみ

ワードプレスがハッキングされる22%の原因はIDとパスワードが弱い事です。ハッカーはよく使われる管理者IDとパスワードの辞書を駆使して、それを何度もログイン画面にプログラムで入力して管理者権限を奪取してきます。管理者のユーザー名は造語にし、またパスワードは英数字を含む12文字以上のものにしましょう。

WordPress セキュリティ対策はワードプレスドクターにご依頼ください