WordPressを更新しないと”何が”起きるのか具体的に説明します

更新しないと危険と言われるけど…WordPressを“更新しないと何が起きるのか”具体的に説明します。

ワードプレス本体やプラグインのアップデートがセキュリティー上重要な理由

ワードプレスサイトを運用されていると、アップデートがセキュリティー上重要とよく言われます。
これは、簡単に申し上げますと、アップデートによって脆弱性をそのプログラムの製作者が塞いでいることが多いからです。

具体的にアップデートされないサイトがどのように、ハッキング被害にあうのか流れを解説していきます。

１　非常に簡単にサーバー上に不正なファイルのアップロード、データベースを書き換えることができてしまうような脆弱性が発見されます

こういった脆弱性は、年間１０～２０個ほど発見され、その情報は、注意喚起のために公開されます。しかしハッカーの多くはこの公開情報から、脆弱性の利用方法を研究してハッキングを行う事もあるため、もろ刃の刃でもあります。

※誰も認知していない大きな脆弱性をハッカー自身が先に発見することもございます。このような脆弱性を０デイと言います。ただ、遅かれ早かれ利用された脆弱性はサーバーのログなどから誰かに露見し、公開情報として共有されていくことになります。

２　脆弱性が公開されると、そのプラグイン等の製作者が脆弱性にパッチを当ててふさぎ、アップデートをリリースします

多くの場合は、脆弱性のあるプラグイン等の製作者にその情報が通知され、製作者はその脆弱性を塞ぐパッチを当てて新バージョンのプラグインをリリースします。

３　ハッカーは、脆弱性を攻撃するツールを作り、膨大なワードプレスサイトを次から次に脆弱性攻撃してきます

ハッカーは検索エンジンなどの情報から、膨大なワードプレスサイトのリストを取得し、１で発見された脆弱性を自動で攻撃してハッキングに成功したら通知するようなプログラムを開発し、何十万ものサイトを次から次に攻撃し、成功したら御の字的な考え方でサイトに不正なアクセスを繰り返してきます。

４　たまたま御社のサイトの脆弱性への攻撃が成功してしまう

アップデートをしていないと、脆弱性が御社サイトで放置されていますので、膨大なサイトを次から次に自動で攻撃するハッカーの攻撃にいつかはヒットしてしまいます。
そして攻撃が成功したことがハッカーに通知され、より危険なバックドアと呼ばれる不正なプログラムをサーバー上に設置されてしまう事になります。

５　攻撃が成功したサイトでハッカーが様々なハッキング活動を行います

ハッカーは脆弱性攻撃が成功したサイトで、不正なページを大量生成したり、不正な管理者権限のユーザーを作ったり、テーマを改ざんしてサイトを訪ねたユーザーを別のサイトに誤導したり、スパムメールの送信元にしたりと多種多様な活動をサイト上で行います。

この時点で多くの場合はサイトが改ざんされていることがサイト運用者に露見することになります。

サイトがハッキングされてしまう６割から７割の原因はプラグインの脆弱性

サイトがハッキングされてしまう６割から７割の原因はプラグインの脆弱性と言われており(次によくあるのが管理者権限のパスワードが弱いことによる管理者権限の乗っ取りです)、上記のような理由から常にプラグイン等のバージョンを最新に保つことはセキュリティー上、非常に大切です。

ワードプレスサイトの脆弱性は脆弱性検索システムや、脆弱性検査もできるプラグイン等でお調べいただくこともできます。

ご参考になりましたら幸いです。

WordPress ワードプレスのマルウェア駆除・脆弱性対策、安全なアップデートの代行のご相談・ご依頼はWPドクターまでお気軽にお送りください