ワードプレスの運用には、セキュリティー関連の知識がある程度必要となってまいります。ここでは、いくつかのよく使われるセキュリティー関連の用語について解説してまいります。


1 脆弱性

脆弱性とは、プログラムに含まれる、製作者とサイト運営者が意図しない動作をさせることのできる隙の事です。
例えば、プラグインに画像のアップロード機能があり、そのアップロード機能が管理者権限によって実行されていたか、また画像であるか確認する機構がない場合、ネットワーク越しに不正なプログラムをサーバーにアップロードできてしまう形になります。

2 マルウェア

マルウェアという言葉は包括的な言葉で、コンピューターウィルスもそれにあたります。
“malicious software”=悪意のあるソフトウェアの略 で、サイトの運営者やプログラムの作成者が意図しない悪意ある動作を行うプログラム本体(もしくは埋め込まれたその部分)の事です。

3 バックドア

バックドアとは、サーバー上に設置される、ハッカーがそのサーバー上で行いたい活動を行うための起点となるプログラムの事です。脆弱性との違いは、それが悪意あるプログラムの実行のために意図して埋め込まれているかという事になります。

例えば、下記のようなコードをサーバー上に設置すると、ネットワーク越しにいかなるプログラムも送信してサーバー上で実行できてしまいます。

eval($_POST['backdoor']);

どのような不正プログラムが実行されるかと言いますと下記のようになります。
・スパムメール送信
・サイトを改ざんして別のサイトに誘導
・不正なページを作る
・ウィルスをホストさせる
・別のサイトへの攻撃の踏み台
・仮想通貨をマイニングさせる
etc…

4 コメントスパム、スパムメール

スパムとは、元々ひき肉の商品ですが、欧米では毎日のように食卓に並ぶため、あきあきしてもういらないもの というたとえに使われるようになりました。
つまり、不要な大量の広告の事です。ワードプレスは、誰でもコメントが書き込めるようにしたり、誰でも問い合わせメールを送ることができるようにすることができますので、こういった不必要な広告がコメント欄や管理者宛のメールに、機械的に大量に送信されることがあります。

5 ブルートフォースアタック

日本語にすると総当たり攻撃という意味です。ワードプレスにおいてこの攻撃が最も行われるのがログイン画面です。
ハッカーは数十万に及ぶよく使われるパスワードの辞書を使い、プログラムで機械的に、次から次にログイン施行を行い、ワードプレスの管理者権限でのログインを試みます。このことをブルートフォースアタックと言い、サイトの表示速度を低下させる原因となることもあります。

6 SQLインジェクション

インジェクションとは、不正な埋め込みの事です。ワードプレスは、コンテンツや管理者のパスワード、サイトの設定がデータベースという、データを効率的に保持・取得するソフトウェアに記録されています。
SQL文とは、データベースにデータを記録したり変更したりする処理コードの事で、ワードプレスに含まれるプログラムから実行できます。

ハッカーはワードプレスのプログラムの脆弱性を利用して、このデータベースの書き換えを試みます。脆弱性を利用して不正なSQL文を実行して例えば管理者権限のパスワードを書き換えてしまうこともできることがあります。

7 リダイレクトハック、SEOハック

何らかのサイトのアクセス向上のために、あなたのサイトにアクセスしてきたユーザーを勝手にそのサイトに強制的に移動させるような改ざん(マルウェア)をリダイレクトハックと言います。ワードプレスでは非常に多いタイプのマルウェアです。

また、検索エンジンは被リンク数の多いサイトを検索上位に持ってくる指標の一つとしていますので、あなたのサイトを改ざんして検索上位に持っていきたいサイトへのリンクを勝手に埋め込むことがあります。こういった検索エンジンでの順位を有利にするためのサイトの改ざんをSEOハックと言います。

8 セキュリティーパッチ(セキュリティーアップデート)

 
ワードプレス本体やプラグインテーマの脆弱性は、その多くが注意喚起のため、またプログラムの製作者が脆弱性をふさぐために通知・公開されています。
脆弱性をふさぐプログラム、またはその方法をセキュリティーパッチ と言います。

また、こういった脆弱性をふさいだプログラムのアップデート(更新)の事をセキュリティーアップデート と言います。

9 DDOSアタック

DDOSアタックとは、大量のアクセスをサイトに発生させて、サイトの速度低下やサイトの表示を困難とし、停止させてしまう行為を言います。
この攻撃を受けると、サイトの表示が極度に遅くなってしまったり、サーバー管理会社が、サイトに403 Forbidden エラーを発生させ表示そのものができなくなるようにしてしまうこともあります。
また、マルウェアを埋め込まれてそのマルウェアが他サイトへのDDOSアタックの仲介役を担うこともあります。

10 ボット

ボットとは、ハッカーが使用する効率的にハッキング等の不正な行為を行うプログラム(ツール)の事で、多くの場合機械的な繰り返し作業を自動で行うものです。
下記のようなボットがございます。

・ブルートフォースアタックを行うボット
・DDOSアタックを行うボット
・脆弱性のあるサイトを検索エンジンの検索結果から探すボット
・複数の脆弱性を攻撃して侵入可能か調べるボット
・スパムコメントを書き込むボット
・スパムメールを配信するボット
etc…

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPressワードプレスのマルウェア駆除・セキュリティー対策・最新バージョンへのアップデートを代行いたします。お気軽にご依頼・ご相談お送りください。