ワードプレスサイトを運用していて、アクセス数が少ないから狙われないだろうと考えるのは危険です。なぜアクセス数が少なくてもサイトがハッキングされないとは限らないかについて解説いたします。
ハッカーはどのように攻撃サイトを探している?
ワードプレスはウェブサイトの3割に利用されているといわれており、その数は膨大な数になります。
この為、ワードプレスサイトをハッカーが攻撃する際に最もよくとられる方法が、総当たりで一番簡単に侵入できるサイトを探すことになります。
例えば下記のような検索を行うとワードプレスサイトだけを検索結果に引っ掛けることができます。
下記文言はワードプレスの無料テーマの多くのフッターに挿入される文言となっているからでございます。
"is proudly powered by WordPress"
任意のプラグインを導入してるサイトを探す検索クエリ
ハッカーは下記のようなクエリで検索することで特定のプラグインをインストールしているサイトを探すこともできます。
inurl:"/wp-content/plugins/プラグインの名称(フォルダ名)/"
inurl:は、サイトのページで読み込んでいるURLに指定したクエリが含まれる含まれるページを出力します。プラグイン多くは、サイトにスタイルシートやJSを読み込みますのでそのURLがページのHTMLに出力されます。
それをこのようなクエリで検索に引っ掛けることができます。
また、サーバーでindex.phpやindex.htmlのないフォルダに自動でそのファルダ内のファイルの一覧のHTMLページを生成する機能が有効になっている場合上記のようなクエリにひっかかってしまいます。
「プラグインの名称(フォルダ名)」のところを、脆弱性のあるプラグインのフォルダ名にすれば、そのプラグインをインストールしているワードプレスサイトを探すことができます。
このような、サイトをハッキングすることを目的として検索クエリのことをDorkといいます。
サイトのバックアップを探すクエリ
サーバー上にサイトのデータベースのバックアップを置いているとそのようなファイルを検索結果に引っ掛けて取得できてしまうクエリもあります。
※一部伏字にしています。
filetype:sql inurl:?????????backup-*
上記クエリは、filetype:でデータベース形式のファイルのみ、かつinurl:でバックアップファイルのURLが含まれるページ(自動生成のINDEXを含む)を検索結果に表示します。
バックアップがハッカーに手にわたってしまうと、サイトのユーザーIDやメールアドレスなどのデータがハッカーにわたってしまうことになり大変危険です。
Dorkでの攻撃を防ぐ
このような検索クエリによる攻撃を完全に防ぐにはサイト全体を検索エンジンに引っかからないようにすればいいのですが、それはサイトの検索エンジン経由の流入を全部諦めるということになりなかなか難しいでしょう。
Dorkによる攻撃を防ぐのに有効な基本的な対策は下記のような対策となります。
・フォルダアクセス時のファイル一覧リストのIndexを自動生成しないようにサーバーの設定を行う
・不要なプラグインやテーマは削除する
・脆弱性のあるプラグインをアップデートする
・プラグインやワードプレスがバージョンを出力するのを抑制する
・サーバー上のわかりやすい位置にわかりやすい名称でバックアップやサーバーのログファイルを置かないようにする(BackWPupやUpdraftなどの最新のプラグインではこの対策はされています)
・wp-configのバックアップを置かないようにする(wp-config.bak、wp-config.txtなどの名称でこのファイルのバックアップをサーバーに置いておくとテキストファイルでダウンロードできてしまいますので大変危険です)
その他一般的なセキュリティー対策は下記のページよりご確認ください
無料でできるワードプレスのセキュリティー対策5選
ワードプレスドクターが開発したプラグインで、「自動生成のフォルダ内ファイル一覧のHTMLを停止する」「脆弱性のあるプラグインの検査」「ワードプレスがバージョンを出力するのを抑制」などの対策が簡単に管理画面からできます。
よろしければお試しいただけましたら幸いです。
↓
