ワードプレスのマルウェア駆除後の再感染率を下げる運用設計について解説いたします。

ワードプレスがハッキングされる原因

下図はWordFence社が調べたワードプレスがハッキングされる原因です。
1位 プラグインの脆弱性
2位 ブルートフォース(総当たりによる管理者権限のパスワードクラック)
3位 コアファイルの脆弱性
4位 テーマの脆弱性
5位 ホスティングサーバーの脆弱性

https://www.wordfence.com/blog/2016/03/attackers-gain-access-wordpress-sites/

日本の場合、4位は日本製のテーマを使用している場合が多く当社でも日本製テーマの脆弱性が明らかになってそれが攻撃に利用された事例は非常に少ないか、ほとんどないかと思われます。(ただ今後もないとは言い切れません)

5位は日本の場合共用サーバーで運営されている場合が多い為、再感染率を下げる運用設計で主に注意するべきは1,2,3位のハッキング対策となるかと存じます。
当社の経験上1,2、3すら気を付けていれば100%とは言い切れないものの、ほぼワードプレスがハッキングされることは防げるかと存じます。

プラグインの脆弱性が攻撃に使用されることを防ぐ運用設計

ハッカーはよりたくさんのサイトに導入されている、より簡単にサーバー上のファイルを改ざんできるような脆弱性を狙います。
(著名な脆弱性を次から次についてみるツールが出回っており、そちらを使用して手当たり次第のサイトに攻撃を行います)

この為、全てのプラグインが常に最新バージョンであることが理想となります。
ただ、プラグインはアップデートでサイトの不具合を起こすことも多い為、最小限の対策として下記のような運用方針をお勧めいたします。

・不使用のプラグインはサーバー上から削除します(非有効化ではなく対象のプラグインのフォルダのプログラム毎、削除します)。またできるだけ少数精鋭のプラグインのみを使用します。

・サイトのプラグインの危険な脆弱性を1カ月に一回はチェックします

・もし脆弱性が見つかればそのプラグインだけは早めにアップデートします

・1年に1回ほどは、テスト環境にて、プラグインやワードプレス全体のアップデートの上、動作確認の上、本番環境にも適応します

常に更新されるプラグインの脆弱性は当社が構築しているデータベースから無料で調べることが出来ます。

ブルートフォース(総当たりによる管理者権限のパスワードクラック)を防ぐ運用設計

こちらの対策は非常に簡単です。ワードプレスの管理者権限のパスワードを下記の法則を満たす強力なものにするだけとなります。

・半角英数大文字小文字記号を一つ以上含む、意味のない12文字以上のパスワードを管理者権限のパスワードとして使用していただく

このようなパスワードは原理的に総当たり攻撃で破るのに1200万年以上かかるため、ブルートフォースアタックで突破されることはありません。

コアファイルの脆弱性攻撃を防ぐ運用設計

ワードプレスのコアファイルの深刻な脆弱性は発見されることが極めて少ないものの、放置サイトでは非常に古いワードプレス(ワードプレスバージョン3や4台)が使用されていることがあり、ハッキングに利用されることがあります。

ワードプレスには自動でマイナーバージョンアップをする仕組みがついています。

※マイナーバージョンアップとは機能は全く同じでセキュリティーパッチだけを当てるバージョンアップの事です。WordPress 3.7から、「自動バックグラウンド更新(Automatic Background Updates)」機能が導入されました

この為この機能を停止しないようにすることが重要です。
具体的には下記のような設定をwp-config.phpに書き込んでマイナーバージョンアップを停止しないようにしてください。

// 自動アップデートを無効にする ※このような設定を書き込まないようにします
define( 'AUTOMATIC_UPDATER_DISABLED', true );

また、ワードプレスのコアファイルを最低でも1年に1回ほどは、テスト環境にて、アップデートの上、動作確認の上、本番環境にも適応するような運用方針にされることをお勧めいたします。

サーバー上のすべてのサイトに対して同様の対策を行います

昨今のマルウェアは、サーバー上の個々のドメインフォルダを超えて感染を広げるものが多くなってきています。
この為、上記対策はサーバー上のすべてのサイトに対して行っていただくことが重要です。

また、サーバー上に不使用の放置サイトがある場合は、サイトのフォルダごと削除いただくことをお勧めいたします。

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスサイトのマルウェア駆除・安全なアップデート・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください

関連記事:

  1. 無料でできるワードプレスのセキュリティー対策5選
    ワードプレスのセキュリティー対策で無料でできるものを5つご紹介いたします。...
  2. ワードプレスサイトの運営でセキュリティー上最低限気を付ける事
    ワードプレスサイトの運営でセキュリティー上最低限気を付ける事を5つご紹介いたします。これで当社経験上9割以上のハッキングを防ぐ事ができます。...
  3. ワードプレスハッキングや乗っ取り、改ざんをされてしまうサイトの特徴5選
    ワードプレスドクターでは年間数百件を超えるサイトのマルウェア駆除やセキュリティー対策を代行させていただいています。 この経験からハッキングや乗っ取り、改ざんをされてしまうサイトの特徴をお伝えいたします。...
  4. ワードプレス6.1.1以下の脆弱性 CVE-2023-22622 につきまして
    昨今国際的な脆弱性データベースNISTにて、ワードプレス6.1.1以下の脆弱性としてCVE-2023-22622 が公開されました。 こちらについて現時点で当社で調べた結果を解説いたします。...
  5. ワードプレス依頼事例(WPドクター):アイキャッチ画像がアップロードできない、プラグインの動作不全、プラグインが追加できないなどの複合的な問題のご解決
    アイキャッチ画像がアップロードできない、プラグインの動作不全、プラグインが追加できないなどの複合的な問題のご解決をご依頼いただいた事例をご紹介いたします。...