ワードプレスがハッキングされる原因の割合につきまして、解説いたします。
画像の引用元 WordFence
ワードプレスがハッキングされる原因の6割近くがプラグイン
図はWordFence社の統計となりますが、見ていただくとわかりますように、ワードプレスがハッキングされる原因の6割近くがプラグインとなっています。
つまりワードプレスの運用を行うにあたって、最も警戒するべきはプラグインの脆弱性という事になります。
なぜ、プラグインの脆弱性が最も攻撃されるかというと、複数のプラグインの脆弱性を一気に攻撃できるツールがハッカーの世界で流通しており、それほど技術が無くてもそれを簡単に利用できる形になっているからで、プラグインを最新に保つ頃、不要なプラグインを削除すること、プラグインの脆弱性を検査することなどがワードプレスのセキュリティー上重要となっています。
2番目に多いBRUTE FORCE
2番目に多いブルートフォースとは、ワードプレスのログイン画面に、よく使われるパスワードの辞書を使い、何万回もログイン施行を繰り返すことによって管理者のパスワードを割り出す手法です。
ログイン画面の保護(URLの変更・キャプチャ・2Wayログイン)をプラグイン等で行う事も重要ですが、それにも増して重要なのが、強力なパスワードを使用することです。
強力なパスワードとは下記のようなものとなります。
・意味のない文字列であること
・12文字以上であること
・英数、大文字小文字、記号が一つ以上含まれている事
このようなパスワードは、辞書ツールには登録されておらず、また、ランダムに文字列を調べても、現代のコンピューターで何万年もかかる為実質的に破ることが不可能となります。
(このため強力なパスワードが設定されていれば、そもそも管理画面の保護も不要であるともいえます)
その他のハッキングされる原因
3位、4位、5位 を見ていきましょう。
core → ワードプレスの古いコアファイルの脆弱性を突く攻撃です。ワードプレスの自動更新によりこういったコアファイルの脆弱性は勝手にふさがれます。※6.0.2 等最後の一桁のバージョンが最新の場合セキュリティーパッチが当たっているという事になります。
theme → 海外では、特定の有料テーマが大きなシェアを持ったりしていて、そのテーマに脆弱性がある場合があります。日本の場合、大きなシェアのある日本固有で配布されているテーマで脆弱性が発見されているという事はいまだ少なく、またオリジナルなテーマでは脆弱性が個別に調べられるという事はほとんどなく、テーマを原因とするハッキングは少ないかと思われます。
hosting → サーバーのLinux等のOSや古いApache,PHPなどサーバーそのもののハッキングです。共用サーバーをワードプレスに使っている場合まずこのような侵入を受けることはないかと存じます。
ワードプレスのマルウェア検査をお手軽にプラグインからできます。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェアの駆除・セキュリティー対策・復旧のご依頼ご相談はWPドクターまでお気軽にお送りください
