ワードプレスドクターでは年間数百件を超えるサイトのマルウェア駆除やセキュリティー対策を代行させていただいています。
この経験からハッキングや乗っ取り、改ざんをされてしまうサイトの特徴をお伝えいたします。



ワードプレスは、全てのウェブサイトの3割で使われているといわれており、おそらく日本においても500万サイト以上がワードプレスで運営されていると思われます。

この為、ハッキングされる割合が極めて少なくても(例えば0.1%)結果としては非常に多くのサイト(5000サイト)が改ざんされてしまうことになりハッキング被害が大量発生しているように見えます。
ただ、この0.1%の9割以上は、当社経験上一定の特徴があるサイト様です。この特徴で多く見られるものを5つ解説いたします。
つまり反面教師として、この特徴を回避すれば、ハッキングの9割以上が防げるという事になります。

1 数年間放置されているサイト

改ざんされてしまったサイトで、最も多いのがこの放置サイトという事になります。誰もログインしていない状態が数年間続いている放置サイトがサーバーにある場合、ハッキングされる危険性が高くなります。
昨今ワードプレスがハッキングされて不正なファイルが埋め込まれる原因の6割がプラグインやワードプレス本体の脆弱性を突くことで、放置サイトには複数の脆弱性が蓄積している可能性があるためです。

不要なサイトがサーバーにある場合は、サイトを削除していただき、放置サイトでも必要なサイトの場合ワードプレス本体やプラグインのアップデートやセキュリティー対策を行っておきましょう。

参考
無料でできるワードプレスのセキュリティー対策5選

2 アップデートが行われていないサイト

プラグインやワードプレス本体を長期間アップデート(更新)されていない場合、1と同様脆弱性が蓄積していることがございます。
ただ、制作会社によっては、ワードプレスやプラグインのアップデートをしないように言っている場合や、アップデートによる不具合が発生する事もあり、現実的にアップデートをこまめに行うことが難しい場合もございます。

この場合、いったんテストサイトで更新を適応してみて、動作確認の上、本版環境に更新を適応するという方法が一般的です。また、脆弱性があるかどうかの検査だけをして、脆弱性のあるプラグイン等を最優先でアップデートをかけるという方法もございます。

↓脆弱性検査ができるセキュリティープラグインをお試しください。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

ワードプレスドクターではこのようなワードプレス本体の安全なアップデートを経験豊かな専門家が代行いたします。お気軽にご相談お送りくださいませ。

3 管理者ユーザーのパスワードが簡単に予測できる物になっているサイト

ワードプレスの管理者権限を奪うタイプのハッキングは全体の2割前後あるといわれており、ワードプレスの管理者権限のパスワードが脆弱な場合、ブルートフォースアタック(総当たりで何万回もログイン施行を行い管理者権限でログインする攻撃)で管理者権限を奪われてしまうことがあります。

ワードプレスの管理者のパスワードで最も安全なのは、ワードプレスが生成してくれるパスワードを使用することです。もし簡単なパスワードを使用している場合は、管理画面>ユーザー>編集 よりパスワードを強力なものを生成・使用されてください。

4 不要なプログラムが大量にサーバー内に置きっぱなしになっている

不使用のプラグインテーマ、テストサイト、サイトのバックアップ(PHPファイル群)、プログラムの残骸、プレビュー用サイト、phpmyadmin、古いムーバブルタイプ等すでに使用されていない、phpプログラムファイルが大量にサーバー中に放置されていませんか?

このようなファイルも、ハッカーは検索エンジン経由や、URLを目星をつけてたたいてみることで目ざとく見つけてしまい、脆弱性を突いてハッキングを行ってきます。

不使用のテーマやプラグインはワードプレスの管理画面から削除できますので、必ずサーバー上から削除いただき、そのほか前述のような不要なプログラム群はFTPソフトウェアでサーバーに接続の上、削除しておきましょう。

5 サイトがハッキングされることはないと考えているウェブマスター

以下のような思い込みでサイトがハッキングされることはないだろうと思われることは危険でございます。
もし前述の1~4のどれかに当てはまる場合はセキュリティー対策を行われることをお勧めいたします。

サイト運営のセキュリティー上危ない考え方

・アクセス数が少ないからハッキングされることはない
→検索エンジン経由でアクセスできるサイトであるならば、アクセス数の多さは関係なくハッキング被害を受けることがあります。

・セキュリティープラグインを入れているからはハッキングされることはない
→ワードプレスがハッキングされてしまう原因の6割はプログラムの脆弱性です。セキュリティープラグインの多くは脆弱性をふさぐ機能はなく、その機能があるプラグイン(例 Wordfence)でも機能は限定的、かつ新規に発見された脆弱性は防ぎようがなく、セキュリティープラグインを入れていてもハッキング被害を受けることがあります。

・ログイン画面のURLを変えたり、ログインフォームにキャプチャを入れたりしているのでハッキングされることはない
→ワードプレスがハッキングされる原因で管理画面経由で行われるものは全体の2割以下しかございません。ワードプレスがハッキングされてしまう原因の6割はプログラムの脆弱性で、管理画面(ログイン画面)のセキュリティーを強化してもこの脆弱性をふさぐことができませんのでハッキング被害を受けることがあります。

WordPressワードプレスの安全な更新作業、マルウェアの駆除を経験豊かな技術者が安全に代行いたします。お気軽にご依頼・ご相談お送りください

関連記事:

  1. 無料でできるワードプレスのセキュリティー対策5選
    ワードプレスのセキュリティー対策で無料でできるものを5つご紹介いたします。...
  2. ロリポップでWordPress (ワードプレス)のハッキング被害が疑われるときは?
    ロリポップは多数のワードプレスサイトをホスティングしていることで有名なサーバーサービスです。ロリポップでホスティングされているワードプレスサイトはバージョンが古いことも多く、ハッキング被害が多発しています。今回はロリポップサーバーでワードプレスがハッキングされているときの対処方法(応急処置)をお知らせいたします。 またWordpressの4.7では、深刻な脆弱性も発見されていることからこのバージョンのワードプレスをお使いの方は、新しいバージョンとはいってもご注意いただく必要があります。...
  3. 【簡単】ワードプレスセキュリテイー向上チェックリスト
    ワードプレスドクターでは年間数百件のサイトのマルウェアのクリーンアップやセキュアなサイトの制作のお手伝いをさせていただいています。 この経験から、重要度に応じてワードプレスをセキュアに運用するチェックリストを作りました。 ご参考になりましたら幸いです。...
  4. ワードプレスと同じフォルダにPHPMYADMINを設置するのは危険?
    phpMyAdminは、ブラウザーでデータベースの表示や、可能なあらゆる編集修正等ができる広く利用されているデータベースの管理システムですが、ワードプレスがインストールされているフォルダに設置されているとセキュリティー上問題がある場合があります。 この理由を解説いたします。...
  5. WordPressで「このサイトは第三者によってハッキングされている可能性があります」と表示されたときの対処方法
    ワードプレスサイトを運営していて突然アクセス数が下がり、Googleで確認すると「このサイトは第三者によってハッキングされている可能性があります」と表示され検索ランクが大幅に下がったという場合、ほぼ100%の確率でサイトがハッキングされ改ざん被害を受けています。 今回はこうなった場合の対処方法を解説いたします。...
  6. ワードプレス 稀に、Google検索結果からのみサイトが別のサイトに飛ばされるリダイレクトハック
    ワードプレスが検索エンジンからの検索結果からジャンプしたときのみ、稀に(スマホだけというパターンもあります)別の不正なサイトに強制的に移動してしまうリダイレクトハックの解説と対処方法について解説いたします。...