- セキュリティ
サイト引越し屋さん編集部
WordPressの乗っ取りや改ざんの手口と対策方法をプロが解説
現代社会では法人・個人問わず、情報の発信やサービスの提供を行う上で、Webサイトがなくてはならない存在となっています。中でも、CMSシェアで断トツのトップを走るWordPressを利用されている方は多いです。
そんなWordPressサイトですが、不正にアクセスされ乗っ取られ、データを改ざんされる問題も多く発生していることをご存知でしょうか?
2018年6月7日には、カプコンの人気ゲーム「モンスターハンター」の公式サイトが、ロシア語のページに改ざんされるトラブルが発生しました。ちなみに「モンスターハンター」の公式サイトは、WordPressで構築されていた様子。
WordPressの乗っ取りや改ざんは、管理者であれば他人事ではありません。法人・個人、事業規模の大小を問わず、乗っ取り(改ざん)被害にあう可能性はあるのです。
今回の記事では、WordPressの乗っ取り(改ざん)の手口や対策について解説しています。
「WordPressの管理を自社で対応することに不安を感じている」
「セキュリティ対策だけでなくバージョンアップ等のメンテナンスもお願いしたい」
そんなときはサイト引越し屋さんにお任せください。
経験豊富なエンジニアがお客様の代わりに対応させていただきます。
目次(クリックで飛べます!)
サイト改ざん(サイトの乗っ取り)とは?
WordPressをはじめとしたサイト乗っ取り(サイト改ざん)とは、サイト運営者以外の第三者が不正にアクセスし、サイトの内容を書き換えてしまうことです。
サイトが改ざんされることによって、下記のような問題が起こる可能性があります。
- 全く別のサイトが表示され、あなたのサイトが消えてしまう
- データを盗まれる(個人情報漏洩)
- サイトにウイルスを埋め込まれ、知らない間にばらまいてしまう
このようにサイト乗っ取り(サイト改ざん)は運営側だけでなく、サイトの利用者にも甚大な被害を与える可能性がありますので注意が必要です。
「うちは小さな会社だから狙われない」
「個人でやっている趣味のサイトだから大丈夫」
これらは、全て誤解です。サイト乗っ取りは、決して大企業だけの問題ではありません。むしろ、大企業に比べセキュリティが甘くなってしまっている会社や個人のサイトの方が、乗っ取られてしまう確率が高くなることもありますので、油断は禁物です。
WordPress乗っ取りの手口
代表的なWordPress乗っ取りの手口を確認しておきます。
- WordPressの脆弱性(セキュリティの弱点)を突く
- 管理者アカウントの乗っ取り
大きくは2つのパターンに分類されます。
WordPressの脆弱性(セキュリティの弱点)を突く
脆弱性を突いてくる攻撃は、定期的に問題となっています。ニュースなどの報道番組で取り上げられることも、少なくありません。
特に、WordPressは世界でもっとも利用されるWebサイト構築のシステムだけあって、その分ハッキングを狙うハッカー達が多くいます。
ハッキングや改ざんを防ぐためには本記事を参考にされるとともに、万が一セキュリティ系の事故が起きても復旧できるよう、常にバックアップを取っておくことも重要です。
SQLインジェクション
不正なSQL文の挿入を意味します。サイトのフォーム内に不正にSQLの文を入力し、システムの誤作動を起こさせる手法です。
クロスサイトスクリプティング
不正なJavaScript、HTMLなどを含めたURLをクリックさせ、ユーザーのブラウザに本物とそっくりな偽ページを表示させる手法です。
クロスサイトリクエストフォージェリ
訪問ユーザーとWebサーバー間のセッション管理の隙を突いてくる手法。不正なURLをクリックさせ、ユーザーになりすまして不正操作を行う。
ゼロデイ攻撃
サーバーやCMSなどに脆弱性が見つかったとき、一般的には開発側から更新プログラムが提供されます。この更新プログラムが準備されるまでの期間を狙ったものをゼロデイ攻撃と呼ばれています。
などが挙げられます。
②管理者アカウントの乗っ取り
サイトの管理者のパソコンが乗っ取られてしまうケースもあります。
一度、乗っ取られてしまうと簡単に情報が抜き取られてしまいます。また、発覚するまでに時間がかかりやすいので、注意しなければいけませn。
標的型攻撃
その名の通り、特定の企業や組織、個人などを標的にした攻撃です。
開封させるよう念入りに仕組んだスパムメールを企業の部署に送りつけ、偽サイトへの誘導やマルウェアに感染させます。主に情報を盗むことが目的とされています。
ソーシャルエンジニアリング
特定のユーザーに対して、SNSをアプローチしアカウントを盗む手法です。人間の心理的な部分や隙を突き、自然に近づいてくるのが特徴です。
以上のように、改ざんには2つのパターンがあるので意識しておきましょう。
その他にも、国内で話題になった具体的な事例はこちらの記事で紹介しています。
WordPress乗っ取りで注意すべき3つのポイント
では、具体的にどういったサイトが改ざんの被害に合いやすいのでしょうか。
ここでは、改ざん被害に遭う可能性が高いサイトの特徴3つをご紹介いたします。
1.使用しているCMS(WordPress等)のバージョンが古い
最近は多くのWebサイトで、WordPress等のシステム(CMS)が利用されています。これらのCMSはセキュリティを強化するため、バージョンアップが繰り返し行われているのです。
しかし、WordPress等のCMSでサイトを構築している人の中には、アップデートを行わず古いバージョンのまま使用している方もいます。
そのまま古いバージョンのWordPressを使用することで、セキュリティの脆弱性(Webサイトの弱さ)が放置され、サイト乗っ取り(改ざん)のリスクが高くなってしまいます。
2.IDやパスワードの管理に不備がある
WordPress等の管理画面にログインするためには、IDやパスワード、サーバーにアクセスするためにはFTP情報が必要です。これらの管理体制が甘いと、第三者が情報を奪いやすくなります。
IDやパスワード、FTP情報がわかれば、誰でも簡単にあなたのサイトを乗っ取ることができますので、これらの情報は厳重に管理しなければなりません。
特に複数の人が、全ての管理者権限のある、同じログインIDやパスワードを使っている状態は、大変リスクがあります。
他にも、IDやパスワードを覚えやすいように、簡単なものに設定していたり、複数のサイトで同じパスワードを設定していたりするのも危険な状態だといえます。
3.ウイルスソフトを導入していないパソコンを使用している
サイトを管理している人のパソコンが、ウイルス対策されていない場合も非常に危険です。
パソコンがコンピュータウイルスに感染すると、パソコン自体を乗っ取られて、パソコン内部の情報を奪われる可能性があります。
サイトの乗っ取りでデータの流出が起きると、あなたの大事なサイトが改ざんされるリスクが一気に高まってしまいます。
WordPress乗っ取りへの6つの対策
サイトが乗っ取られてしまうと、サイトの運営が停止するだけではありません。情報の漏洩やウイルスをばら撒く原因になってしまう可能性もあります。
万が一の被害拡大を防ぐためにも、以下のようなサイト改ざん対策は不可欠です。
- CMSのバージョンは常に最新の状態にしておく
- IDやパスワードのセキュリティ管理を強化する
- データベースパスワードを強化する
- サーバー管理画面のパスワードを強化する
- パソコンのウイルス対策を行う
- 定期的にバックアップを取っておく
あなたのサイトが乗っ取られないための対策について、説明していきます。
対策方法①:WordPressややプラグインのバージョンを最新の状態にしておく
WordPressなどのCMSで構築されたサイトの場合は、必ずアップデートを行い最新のバージョンを使用するようにしてください。
さらに、WordPress本体のバージョンアップだけでなく、プラグイン等も最新のものにアップデートしておくことを推奨します。
WordPress本体やプラグインには、定期的に欠陥(バグ)が発見されます。古いバージョンのままバグが残っていると、そこを攻撃されてサイトが乗っ取られる可能性があります。なるべく最新のバージョンにしておきましょう。
対策方法②:IDやパスワードのセキュリティ管理を強化する
CMSの管理画面にログインするためのIDやパスワードは、アルファベットや数字を組み合わせた複雑なものにしておくと推測されにくくなります。ID
IDを「admin」など、初期設定のままにしておくことは止めましょう。
さらに、全ての管理者権限のあるIDやパスワードを複数の人が使用することは避け、個別に権限を設定したIDやパスワードを発行しましょう。そうすることで、セキュリティ強化につながります。
そこで使っていただきたいのが、「大英文字、小英文字、数字」+「10文字」の組み合わせによるパスワードです。この組み合わせであれば、まず突破される心配はありません。
対策方法③:データベースパスワードを強化する
WordPressの改ざん事例には、データベースに直接アクセスされるケースがあります。
この原因の多くもパスワードによるものです。そのため、パスワードを強固にすれば、データベースにアクセスされる心配はありません。
ただし、データベースのパスワードはWordPressのコアファイルでも使用しています。そのため、パスワードを変更した際は該当ファイル「wp-config.php」のデータベースパスワード部分も併せて変更する必要があります。
対策方法④:サーバー管理画面のパスワードを強化する
4つ目の対策方法は、サーバー会社のログイン面の強化です。仮にWordPressやサーバー、データベースのセキュリティが頑丈だとしても、サーバー管理画面にログインされてしまうと意味がありません。
特にインターネットに関わる人は利用するサービスが多いので、同じパスワードを設定しがち。セキュリティ面を考慮するのであれば、簡単に突破されない強固なパスワードに設定し直すことを推奨します。
対策方法⑤:パソコンのウイルス対策を行う
サイト管理者が使用するパソコンのウイルス対策は、しっかりと行いましょう。
また、セキュリティソフトを導入するだけでなく、使用しているパソコンのOSやブラウザ、ソフトなどを常に最新の状態にしておくのも大事です。OSやブラウザのアップデートも、セキュリティ面の強化になります。
パソコンのセキュリティ強化は、サイトの改ざんを防ぐ基本です。普段から意識しておきましょう。
対策方法⑥:定期的にバックアップを取っておく
万が一、サイトの改ざん被害に遭ってしまったときのことを考え、定期的にバックアップは取っておきましょう。
WordPressを乗っ取られた後で対策しても、手遅れのケースがあります。すぐにサイトを復旧できるよう、サイトのデータを定期的にバックアップしておくことが大事です。
WordPressバックアップ方法については下記にまとめました。是非参考にしてください。
最近では、自動的にバックアップを取得してくれるレンタルサーバーも増えてきました。あなたが利用しているサーバーはどうでしょうか。
サイトの放置はNG!定期的なメンテナンスは必須
運営しているサイトを、普段からチェックせずに放置していると「サイトの改ざん自体に気づかない」というケースがあります。実はこれが最も恐ろしいパターンと言えます…。
乗っ取りやサイトの改ざんに気づくことが遅れるほど、確実に被害は大きくなるからです。
最悪の事態を避けるためには、定期的なサイトのメンテナンス、もしくは改ざん検知ツール(プラグインなど)を利用するべきです。
WordPressの改ざんを検知するプラグインとは
WordPressサイトの改ざんを検知してくれる便利なプラグインがあるのをご存知でしょうか。今回は「wpdoctor」や「SiteGuard」を紹介します。
どちらのプラグインも日本国内の企業が開発しているので、安心感があります。
SiteGuardのセキュリティ機能について
SiteGuard WP Pluginとは、WordPressのセキュリティアップを目的に開発されたセキュリティ用プラグインです。
SiteGuardの代表的な機能は次の通りです。
- 不正ログインの防止
- コメントスパムの防止
- プラグインの脆弱性チェック
- 攻撃の結果をPDF形式のレポートで出力
- 指定したアドレスへ検出内容を通知
SiteGuardは国内シェアも高く、Webサイトセキュリティの専門企業が開発したプラグイン。推奨できるプラグインの1つです。
Wpdoctorのセキュリティ機能について
Wpdoctorはファイル改ざんを検知・駆除するほか、感染したファイルがハッカーによる不正なコードの埋め込みかどうかまで判定できる、非常に優れたプラグインです。
- サイトの改ざんを検知する
- 指定したアドレスへ検出内容を通知
- 不正ログイン防止
- コメントスパムの防止
- 怪しいIPからのアクセスをブロックする
- WordPressや導入したプラグインの脆弱性を確認する
Wpdoctorをインストールした後、ウィルスチェック(Malware scan)をクリックするだけなので、手軽に使用できます。今回紹介した2つのプラグインは有料版と無料版がありますが、まずは無料で使ってみるのが良いでしょう。
※上記以外のツールやサービスもありますので、気になる方はこちらもチェックしてみてくださいね。
参考記事WordPressの脆弱性とは?対策とセキュリティ強化に役立つプラグイン6選
WordPressでやっておきたい保守対応について
WordPressを運用するのであれば最低限やっておきたい保守対応について、下記の記事にて解説しています。
保守対応はしたいければ業者に依頼する予算がない場合には、自身で勉強しながら実施するようにしてください。
「WordPressの管理を自社で対応することに不安を感じている」
「セキュリティ対策だけでなくバージョンアップ等のメンテナンスもお願いしたい」
そんなときはサイト引越し屋さんにお任せください。
経験豊富なエンジニアがお客様の代わりに対応させていただきます。
この記事を書いた人
サイト引越し屋さん編集部
日本で最も利用されているサーバー移転&保守代行サービス『サイト引越し屋さん』の中の人です。 サイト引越しに関わる技術情報をはじめ、WordPressやその他のWebサービスに関するノウハウを発信しています。 全日本SEO協会所属。
本サイトにてご提供している情報については、最新かつ正確な情報を提供するよう努力していますが、情報の正確性や完全性を保証するものではございません。また、コンテンツには一部プロモーションが含まれております。本サイトの情報を利用することによって生じたいかなる損害に対しても、当社は責任を負いかねます。情報をご利用される際は、ご自身の判断と責任において行っていただきますようお願い致します。