サイトがハッキングされて改ざんされてしまうと一般的に、ハッカーがあなたのサイトを狙い撃ちで高度な技術で侵入したととらえられるウェブマスター様がいらっしゃいますが、ワードプレスの場合そうではありません。このことについて解説したいと思います。
この記事の目次
ワードプレスサイトのハッキングは御社のサイトに狙い撃ちで仕掛けられるわけではありません
御社サイトがハッキング攻撃で改ざんされてしまった場合、御社サイトをハッカーが何時間・何日もかけて脆弱性などを調べて高度な技術で侵入されたんだと考えられるウェブマスターの方がいらっしゃいますが、ワードプレスの場合ほぼすべての事例でそのような方法論でハッキングされているわけではありません。
ワードプレスサイトは世界中のサイトの3割で使われており、何億サイトもあります。ハッカーはこの何億サイトの中から最も簡単にハッキングできるサイトを膨大なワードプレスサイトのリストから見つけ出して侵入するというマス攻撃型の方法論でサイトに攻撃を仕掛けます。
この為、簡単に侵入できなければすぐにハッカーはあきらめて別のサイトをあたる形になります。(ほかにもっと簡単に侵入できるサイトがいくらでもあるからでございます)
ハッカーは高度な技術を使いサイトに侵入しているわけではなく、最も簡単に利用でき、かつ多くのサイトに残っている可能性の高いプラグインやテーマの脆弱性を好んで攻撃します。
ワードプレスサイトを構成するプログラムはオープンソースで脆弱性はすでに何千人もの技術者が調査済みで、見つかった脆弱性は公開されています
ハッカーは検索エンジン等から、ワードプレスサイトのリストを手に入れ、そして多くのサイトに導入されているプラグインやテーマのすでに公開されている著名な脆弱性を次から次に攻撃を仕掛けてみるツールを使いうまくいかない攻撃でもとりあえず手当たり次第に脆弱性をたたいてみるというやり方でサイトを攻撃いたします。
ワードプレスの様々なプログラムの脆弱性は、注意喚起のためにNISTなどのウェブサイトで公開されており、この情報をもとにハッカーはハッキングツールを作っている場合が多いです。
この為、セキュリティーパッチの当たっているワードプレス本体やテーマ・プラグインを使用していればハッカーの脆弱性攻撃はまず成功することはございません。
サイトの脆弱性を個別のプログラム単位で大きなコストをかけて調べたりしても、未発見の脆弱性を見つけることはほぼ不可能に近く、見つけたとしてもハッカーはその脆弱性を利用して攻撃した可能性はほぼない為、あまり意味がないといえます。
ハッキングが成功した日時や理由を特定するのは困難
前述のようにワードプレスのハッキングは、膨大なサイトに手あたり次第に脆弱性をたたいてみるという攻撃方法がとられますので、膨大な攻撃の痕跡(一般のアクセスログと切り分けが難しいものも含みます)だけが残る形になります。
サーバーの多くでは、簡易なアクセスログしかとられておらず、POSTなどでハッカーがどのようなデータを送信したかのデータはほぼすべてのサーバーでは取られておりません。
また、このようなアクセスログが取られていたとしても、膨大な攻撃の痕跡の中で成功したものを特定するのは極めて難しいです。(攻撃方法を一つ一つ再現して成功するかしないかを判定する必要があります。侵入に成功する脆弱性を特定できたとしてもその後にハッカーがその脆弱性を利用したかどうかも判断が困難となります)
また、ハッカーは別のハッカーが仕掛けたバックドアを利用する場合もございます。複数のハッカーがサイトを改ざんしているような事例では、このバックドアをサーバー上から排除しないと改ざんが止まらない形になってしまいます。
この為、ワードプレスサイトがいつどのような攻撃を受けて侵入されたかを1つに特定して、それをピンポイントで塞ぐセキュリティー対策を行うという考え方はワードプレスのセキュリティー対策の考え方としては、現実的ではないといえます。
ワードプレスのセキュリティー対策
ワードプレスのセキュリティー対策は、このようなワードプレスの攻撃方法の特殊性に照らし合わせて検討する必要がございます。
当面下記のような対策が最も有効かつ効率的な方法でございます。
・マルウェア(バックドア)をサーバーから駆除しきります
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
・著名な脆弱性のあるプログラム(ワードプレス本体、テーマ、プラグイン)をサーバー上に置いておかない事も重要でございます
(※テーマやプラグインを非有効化していてもインターネット経由で直接プログラムにアクセスできますので非有効化しているテーマやプラグインの放置も危険でございます)
・サーバ上のそのほかのサイトに脆弱性があったり、バックドアが仕掛けられていないかも調査することが重要でございます。(昨今のマルウェアはサーバー上のドメインフォルダを超えて感染を広げるものが多いです)
また、ハッキングが成功する要因の6割はテーマやプラグインのプログラムの脆弱性攻撃、2割は管理者権限のパスワードが弱い事で総当たり攻撃でパスワードを破られることと言われています。この為、管理者権限のユーザーのパスワードを強力なものにすることも重要でございます。
ご参考になりましたら幸いです。
WordPress ワードプレスのマルウェア駆除・セキュリティ対策は専門家が代行いたします。お気軽にご依頼・ご相談お送りください