ワードプレスのセキュリティー対策に関しまして、多くの方が勘違いされて改ざん・マルウェアの埋め込み被害にあってしまう事例が多々ございますのでその点をまとめてみました!
わが社(私)のウェブサイトはアクセス数も少なく、このような小さなサイトが狙われることはない
ハッカーは、より簡単に侵入できるサイトを常に探しており、どのようなワードプレスサイトでも乗っ取ってしまえば、匿名の無料サーバーを手に入れられるようなもので、アクセス数が少ないからと言ってハッキングによる利用価値が大きく減るわけではございません。
・スパムメールの踏み台
・他のサイトから誤導してウィルスをダウンロードさせる
等の不正な活動が小規模サイトでもハッキングすれば可能となってしまいます。
現在の超高性能な検索エンジンはどのような小さなサイトでも拾っており、脆弱性のあるプラグインがあるかどうかもHTMLコードの内容で検索したり、ワードプレスのフォルダ構造で検索すると検索結果に出てしまいますのでハッキングされるリスクはアクセス数やサイトの規模には比例するわけではございません。
ログイン画面のセキュリティーを強化するプラグインを導入しているから大丈夫
ワードプレスのセキュリティープラグインで、ログイン画面のみを高度に保護するものがございますが、ワードプレスのログイン画面は基本的には、半角英数記号数字を含む10数文字の無意味な文字列にすれば突破されることはございません。
それよりも、ログイン画面を保護しているからと言って、安心されてプラグインやテーマの更新や、脆弱性への対応をおろそかにされることが、ハッキングをおびき寄せるリスクを大きくすることとなってしまいます。
ハッカーがサイトに侵入・改ざんする原因の6割以上がプラグインの脆弱性を突くことで、次から次に数百ものプラグインの脆弱性を突破できるか調べてハッキングするツールが存在します。
使っていないテーマやプラグインは機能を停止(非有効化)しているから大丈夫
ワードプレスのプラグインやテーマは機能を使うか使わないかを管理画面から切り替えることができます。
プラグインやテーマを有効にしていないので、安心されて更新をされていないことはハッキングのリスクを大きくしてしまいます。脆弱性の多くは、プログラムに直接アクセスしても利用できてしまいますので、脆弱性のあるテーマやプラグインがサーバーにあるだけでハッキングすることができるからです。
不使用のプラグインやテーマも更新されるか、サーバー上から削除いただくことをお勧めいたします。
サーバー内でハッキングを受けたサイトのクリーンアップを実施したから大丈夫
サーバー内に複数のサイト(ドメイン)をインストールして運用されている場合、一つのサイトが改ざんされてそちらを復旧されたとしても完全に安心することはできません。
高度なバックドアは、サーバー内の最上位のフォルダからたどって、そのほかのドメインのフォルダに、そのサイトに脆弱性が無かったとしても任意のファイルを埋め込んだり、ファイルを書き換える機能を有する場合があります。
こういったバックドアを見逃していた場合、サーバー内の他のサイトが改ざんされる危険があります。
サーバー内の一つのサイトが改ざん被害を受けた場合は、そのほかの同一サーバー内のすべてのドメインに含まれるファイルのマルウェア検査と、アップデート等のセキュリティー向上の対策を行われた方がよいかと存じます。
改ざんを受けたサイトをバックアップから改ざん前の状態に復元したから大丈夫
改ざん前の状態にサイトをバックアップから復元した場合、ハッカーが埋め込んだバックドアや不正なファイルは確かになくなっている状態に戻りますが、ハッカーが侵入した原因も同様に元に戻っていることになります。
この場合、再度ハッカーが同じ方法でサイトに侵入・改ざんができてしまいます。
また、バックアップの時点で既にバックドアが仕込まれていて、そのファイルが復元してしまっている可能性もございます。
サイトのセキュリティー対策を無料で行うには?
下記の記事でワードプレスの基本的なセキュリティー対策で無料でできるものをまとめております。
こちらの対策でも大きなセキュリティー向上が望めますので参考にしていただけましたら幸いです。
WordPress ワードプレスのマルウェア駆除、復旧・セキュリティー対策のご依頼・ご相談はお気軽にワードプレスドクターにお送りください
