ワードプレスのセキュリティー対策で最も気を付けるべきポイントを解説いたします。
ワードプレスがハッキングされてしまう原因
上図はワードプレスがハッキングされる原因を多い順に棒グラフにしたものです。(WordFence社調べ)
ソース https://www.wordfence.com/blog/2016/03/attackers-gain-access-wordpress-sites/
プラグインの脆弱性が1位で6割近く、次にブルートフォースアタック(管理者のパスワードの総当たり攻撃)が2割弱で2位になっていることが分かります。
(日本の場合、日本製のテーマを利用されていることが多く、またホスティングも共用サーバーで運用されていることが多い為、Theme,Hostingの2つの統計の数値はかなり減り、プラグイン原因7割、ブルートフォースアタックが2割以上でその二つでワードプレスのハッキングは9割以上説明できるかと思います。)
またSucuri社の調べでは、ワードプレスで報告される脆弱性の9割以上がプラグインの脆弱性となっていることが分かっています。
統計からわかるワードプレスの最も重要なセキュリティー対策のポイント
この事から、ワードプレスの管理者権限のパスワードを強力なものにするだけで、ハッキングの2割前後を防ぐことが可能なことが分かります。
ワードプレスの管理者権限のパスワードは大文字、小文字、数字、記号を含む意味のない12文字以上の文字列にします。
このセキュリティー対策はサイトをSSL化している限りパスワードがネット経由で外部に漏れることは無く、基本的にはずっと有効なセキュリティー対策となります。
定期的に確認する必要があるのはプラグインの脆弱性
ハッカーは膨大なワードプレスサイトを著名(簡単にハッキングが成功してサイトのファイルを改ざんできる脆弱性)な脆弱性を次から次に攻撃するツールを使い、攻撃してきます。この際に御社サイトに導入されているプラグインにその著名な脆弱性がある場合、ハッキングがそのうち成功してしまいます。
当社の経験上著名な脆弱性がサイトのプラグインにある場合、半年から1年以内にハッキングされてしまうサイト様が多いように思われます。
プラグインの脆弱性を数カ月に一度は検査し脆弱性がある場合はそのプラグインをアップデートします
プラグインの脆弱性をセキュリティープラグインや、脆弱性データベースなどで定期的にチェックし、もし脆弱性のあるプラグインがあった場合はそのプラグインをアップデートすることが非常に重要な脆弱性対策となります。
脆弱性を調べなくても、定期的にワードプレスと本体、プラグインをすべてアップデートされるのが最もよいのですが、この場合アップデートでサイトにバグが出る事があったり、オリジナルテーマとの兼ね合いからプラグインのアップデートをしないように製作者の方に言われている場合もございますので最低限大きな脆弱性のあるプラグインは把握いただきその対策を常に行われることが基本的なセキュリティー対策のポイントとなるかと存じます。
※プラグインが非有効化されていても、脆弱性を突いて利用することが出来る場合も多い為、非有効化されているプラグインについてもアップデート又は削除いただくなどの脆弱性対策が必要です
ワードプレスサイトはハッキング被害を受けやすいイメージがありますが、ワードプレスサイトの量が圧倒的に多い為にたくさんのサイトがハッキング被害が報告されているだけで、ごく簡単なセキュリティー対策でもハッキングされる可能性を大きく減らすことが可能です。
ハッカーは簡単にハッキングできないサイトはすぐにあきらめて次に移りますので、上記2つの対策でワードプレスはほとんどハッキングされてしまうことは無くなります。
もし、ハッキングされ、マルウェアの症状がある場合は早めに専門家にご相談いただくことをお勧めいたします。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はWPドクターまでお気軽にお送りください