引用 kinsta.com

ワードプレスのハッキングでもっとも狙われやすいのは?

1 プラグイン
2 総当たり攻撃(ログインを突破し管理者権限を奪取する)
3 ワードプレス本体の脆弱性
4 テーマの脆弱性
5 ホスティングサーバーの脆弱性

となっています。この中で、
2 はワードプレスが自動生成する大文字小文字記号数字を含むパスワードであれば100%といっていいほど防げます。

3 はワードプレスの自動アップデートが有効になっていれば勝手に小さな脆弱性をつぶしてくれていますので防ぐことができます

4 は公式のテーマで最新のものを適応している。もしくは、日本製のテーマもしくはオリジナルテーマでしたら普及度が世界的に見れば低いのでハッキングされる可能性は低くなります。

5 はワードプレスでは防ぎようがなく、各サーバーのホスティング会社のサーバーセキュリティーによりますが多くの共用サーバーでは対策が取られており、そう簡単に突破できないでしょう。

プラグインのプログラムへの攻撃

なぜプラグインの脆弱性が狙われやすいのか?

ワードプレスのプラグインはその多くが完全に無料でGPLという誰でもカスタマイズをしてよいライセンスの元配布されています。
プラグインは、公式ディレクトリに公開される際にプログラムが読みやすく書いてあることが求められ、脆弱性検査は簡易的なものしか実施されずにそのまま公式ディレクトリに反映されます。

脆弱性等にそれほど重点を置かない開発者や、ハッカーの攻撃方法に対する知識が乏しい開発者の方もいらっしゃいます。

脆弱性攻撃ツールの存在

ハッカーの世界では数十のワードプレスのプラグインの脆弱性を、自動で攻撃してくれるツールなどが出回っています。
これらのツールは簡単に使えることからそれほど技術のないハッカーでもワードプレスの乗っ取りを可能とするため、手軽にワードプレスのハッキングをやっているいたずら目的のハッカーが多数います。

プラグインの脆弱性からワードプレスの改ざんや乗っ取りを防ぐには?

1 脆弱性の検査

プラグインで脆弱性検査を実施いただけます
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

2 プラグインのアップデート

可能であれば、ワードプレスのプラグインの更新を3カ月に一度ほど行われていれば、ハッカーのプラグインへの脆弱性の攻撃のほとんどを防ぐことが可能です。

3 プラグインはできるだけ少なく、不使用のプラグインは削除する

プラグインが少なければそれだけ、脆弱性がハッカーによって狙われる可能性が低くなります。また、不使用のプラグインを必ず削除されることも重要です。
プラグインが非有効であってもプラグインの脆弱性の半分ほどは、それとは関係なく外部から改ざんの入り口として利用できてしまうからです。

WordPress
ワードプレスやプラグインの安全な更新、マルウェア駆除・セキュリティー対策はワードプレスドクターが代行いたします。お気軽にご相談・ご依頼をお送りいただけましたら幸いです。