ワードプレスサイトがハッキングされ、改ざんされたり、別のサイトに飛ばされるようになったり、マルウェアが埋め込まれる形になってしまう最も危険な運用の仕方を5つ解説いたします。反面教師にしていただけましたら幸いです。
この記事の目次
1 不使用のプラグインがあり、そのプラグインにアップデートがかかっている
ワードプレスがハッキングされる原因の6割は脆弱性のあるプラグインを利用して行われます。
この為、不使用(有効になっていない、もしくは機能自体が使用されていない)プラグインをワードプレスに導入しているままで、かつアップデートもされていない場合は、セキュリティー上はデメリットしかございません。
有効化されていないプラグインはすぐに削除されても99%問題ございませんので削除していただき、また、機能が使用されていないプラグインも一度洗い出していただき、非有効化の上削除いただくことをお勧めいたします。
2 脆弱性のあるプラグインが存在する
ワードプレスのプラグインの脆弱性は、注意喚起の目的で公的機関などから公開されます。
日本での脆弱性公開サイトの例
https://jvn.jp/report/index.html
しかし、この情報をもとに、ハッカーも危険な脆弱性を突くツールを開発の上、大量のワードプレスサイトに次から次に攻撃を仕掛けます。この為脆弱性があるプラグイン等を使用し続けている場合は、いつかハッカーがあなたのサイトに運悪く侵入出来てしまう可能性があります。
お使いのワードプレスに、古いプラグインや長らく更新されていないプラグインがある場合、最も危険な脆弱性(ログイン無に遠隔からサイトを乗っ取れるなどの脆弱性のタイプ)があるかどうかをお調べいただくことをお勧めいたします。
プラグインで危険な脆弱性があるかないかを簡単に調べることができるものもございます。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
ご利用いただくことをご検討いただけましたら幸いです。
3 サーバー内に放置されている他のワードプレスサイトがある
サーバー内で、ほかのサイト経由で、全く脆弱性のないサイトにまでマルウェアが広がる事例が昨今増えております。
ハッカーは、一度特定のサイトに侵入可能になれば、サーバー内の(同じアカウント内の)他のサイトにも手を伸ばして、マルウェアやバックドアを埋め込むことができます。
ほとんどアクセスのない、アップデートなどの保守もされていないサイトがサーバー内にほかにある場合は、必要に応じてバックアップをお取りいただいたうえで、そのサイトの全ファイルをサーバーから削除いただくことをお勧めいたします。
4 ワードプレスの管理者のパスワードが複雑なものになっていない
ハッカーがワードプレスサイトを乗っ取ってしまう原因の2割前後が、管理者権限の奪取です。
ハッカーは、ワードプレスに機械的に様々なパスワードの組み合わせで、何万回も繰り返してログインを試みる、ブルートフォースアタックと呼ばれる攻撃手法でワードプレスの管理者のパスワードを割り出してしまいます。
この為、ワードプレスのユーザー編集画面にある、自動でパスワードを生成する機能を使用してパスワードを設定されるか、12文字以上で半角英数記号を含むランダムな文字列のパスワードをご利用いただくことをお勧めいたします。
5 長らくワードプレス本体や、プラグインがアップデートされていない
前述の危険な脆弱性が無くても、長いことワードプレスやプラグインがアップデートされていないサイト(アップデートの習慣のないサイト)は、いつ何時脆弱性が明らかになって攻撃にさらされるかわからない状態となっています。
ワードプレス本体や、プラグインのアップデートは最低でも1年に1度は行われることをお勧めいたします。
WordPress ワードプレスの安全なアップデートや、マルウェア駆除を専門家が代行いたします。お気軽にご依頼ご相談お送りいただけましたら幸いです