ワードプレスドクターでは年間数百件を超えるサイトのマルウェア駆除やセキュリティー対策を代行させていただいています。
この経験からハッキングや乗っ取り、改ざんをされてしまうサイトの特徴をお伝えいたします。
ワードプレスは、全てのウェブサイトの3割で使われているといわれており、おそらく日本においても500万サイト以上がワードプレスで運営されていると思われます。
この為、ハッキングされる割合が極めて少なくても(例えば0.1%)結果としては非常に多くのサイト(5000サイト)が改ざんされてしまうことになりハッキング被害が大量発生しているように見えます。
ただ、この0.1%の9割以上は、当社経験上一定の特徴があるサイト様です。この特徴で多く見られるものを5つ解説いたします。
つまり反面教師として、この特徴を回避すれば、ハッキングの9割以上が防げるという事になります。
1 数年間放置されているサイト
改ざんされてしまったサイトで、最も多いのがこの放置サイトという事になります。誰もログインしていない状態が数年間続いている放置サイトがサーバーにある場合、ハッキングされる危険性が高くなります。
昨今ワードプレスがハッキングされて不正なファイルが埋め込まれる原因の6割がプラグインやワードプレス本体の脆弱性を突くことで、放置サイトには複数の脆弱性が蓄積している可能性があるためです。
不要なサイトがサーバーにある場合は、サイトを削除していただき、放置サイトでも必要なサイトの場合ワードプレス本体やプラグインのアップデートやセキュリティー対策を行っておきましょう。
2 アップデートが行われていないサイト
プラグインやワードプレス本体を長期間アップデート(更新)されていない場合、1と同様脆弱性が蓄積していることがございます。
ただ、制作会社によっては、ワードプレスやプラグインのアップデートをしないように言っている場合や、アップデートによる不具合が発生する事もあり、現実的にアップデートをこまめに行うことが難しい場合もございます。
この場合、いったんテストサイトで更新を適応してみて、動作確認の上、本版環境に更新を適応するという方法が一般的です。また、脆弱性があるかどうかの検査だけをして、脆弱性のあるプラグイン等を最優先でアップデートをかけるという方法もございます。
↓脆弱性検査ができるセキュリティープラグインをお試しください。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
ワードプレスドクターではこのようなワードプレス本体の安全なアップデートを経験豊かな専門家が代行いたします。お気軽にご相談お送りくださいませ。
3 管理者ユーザーのパスワードが簡単に予測できる物になっているサイト
ワードプレスの管理者権限を奪うタイプのハッキングは全体の2割前後あるといわれており、ワードプレスの管理者権限のパスワードが脆弱な場合、ブルートフォースアタック(総当たりで何万回もログイン施行を行い管理者権限でログインする攻撃)で管理者権限を奪われてしまうことがあります。
ワードプレスの管理者のパスワードで最も安全なのは、ワードプレスが生成してくれるパスワードを使用することです。もし簡単なパスワードを使用している場合は、管理画面>ユーザー>編集 よりパスワードを強力なものを生成・使用されてください。
4 不要なプログラムが大量にサーバー内に置きっぱなしになっている
不使用のプラグインテーマ、テストサイト、サイトのバックアップ(PHPファイル群)、プログラムの残骸、プレビュー用サイト、phpmyadmin、古いムーバブルタイプ等すでに使用されていない、phpプログラムファイルが大量にサーバー中に放置されていませんか?
このようなファイルも、ハッカーは検索エンジン経由や、URLを目星をつけてたたいてみることで目ざとく見つけてしまい、脆弱性を突いてハッキングを行ってきます。
不使用のテーマやプラグインはワードプレスの管理画面から削除できますので、必ずサーバー上から削除いただき、そのほか前述のような不要なプログラム群はFTPソフトウェアでサーバーに接続の上、削除しておきましょう。
5 サイトがハッキングされることはないと考えているウェブマスター
以下のような思い込みでサイトがハッキングされることはないだろうと思われることは危険でございます。
もし前述の1~4のどれかに当てはまる場合はセキュリティー対策を行われることをお勧めいたします。
サイト運営のセキュリティー上危ない考え方
・アクセス数が少ないからハッキングされることはない
→検索エンジン経由でアクセスできるサイトであるならば、アクセス数の多さは関係なくハッキング被害を受けることがあります。
・セキュリティープラグインを入れているからはハッキングされることはない
→ワードプレスがハッキングされてしまう原因の6割はプログラムの脆弱性です。セキュリティープラグインの多くは脆弱性をふさぐ機能はなく、その機能があるプラグイン(例 Wordfence)でも機能は限定的、かつ新規に発見された脆弱性は防ぎようがなく、セキュリティープラグインを入れていてもハッキング被害を受けることがあります。
・ログイン画面のURLを変えたり、ログインフォームにキャプチャを入れたりしているのでハッキングされることはない
→ワードプレスがハッキングされる原因で管理画面経由で行われるものは全体の2割以下しかございません。ワードプレスがハッキングされてしまう原因の6割はプログラムの脆弱性で、管理画面(ログイン画面)のセキュリティーを強化してもこの脆弱性をふさぐことができませんのでハッキング被害を受けることがあります。
WordPressワードプレスの安全な更新作業、マルウェアの駆除を経験豊かな技術者が安全に代行いたします。お気軽にご依頼・ご相談お送りください