- セキュリティ
PR
最終更新日:
サイト引越し屋さん編集部
サイト引越し屋さん編集部WordPressの乗っ取りや改ざんの手口と対策方法をプロが解説
現代社会では法人・個人問わず、情報の発信やサービスの提供を行う上で、Webサイトがなくてはならない存在となっています。中でも、CMSシェアで断トツのトップを走るWordPressを利用されている方は多いです。
そんなWordPressサイトですが、不正にアクセスされ乗っ取られ、データを改ざんされる問題も多く発生していることをご存知でしょうか?
2018年6月7日には、カプコンの人気ゲーム「モンスターハンター」の公式サイトが、ロシア語のページに改ざんされるトラブルが発生しました。ちなみに「モンスターハンター」の公式サイトは、WordPressで構築されていた様子。
WordPressの乗っ取りや改ざんは、管理者であれば他人事ではありません。法人・個人、事業規模の大小を問わず、乗っ取り(改ざん)被害にあう可能性はあるのです。
今回の記事では、WordPress保守管理のプロである『サイト引越し屋さん』が、WordPressの乗っ取り(改ざん)の手口や対策について解説しています。
\サイト引越し屋さんにてWordPress保守管理を代行中/
「WordPressの管理を自社で対応することに不安を感じている」
「セキュリティ対策だけでなくバージョンアップ等のメンテナンスもお願いしたい」
そんなときはサイト引越し屋さんにお任せください。
経験豊富なエンジニアがお客様の代わりに対応させていただきます。
目次(クリックで飛べます!)
サイト改ざん(サイトの乗っ取り)とは?
WordPressをはじめとしたサイト乗っ取り(サイト改ざん)とは、サイト運営者以外の第三者が不正にアクセスし、サイトの内容を書き換えてしまうことです。
サイトが改ざんされることによって、下記のような問題が起こる可能性があります。
- 全く別のサイトが表示され、あなたのサイトが消えてしまう
- データを盗まれる(個人情報漏洩)
- サイトにウイルスを埋め込まれ、知らない間にばらまいてしまう
このようにサイト乗っ取り(サイト改ざん)は運営側だけでなく、サイトの利用者にも甚大な被害を与える可能性がありますので注意が必要です。
「うちは小さな会社だから狙われない」
「個人でやっている趣味のサイトだから大丈夫」
これらは、全て誤解です。サイト乗っ取りは、決して大企業だけの問題ではありません。むしろ、大企業に比べセキュリティが甘くなってしまっている会社や個人のサイトの方が、乗っ取られてしまう確率が高くなることもありますので、油断は禁物です。
===サイト引越し屋さんではWordPressの保守管理を代行しております。
詳しくは、下記のサービス詳細をご覧ください。
>>WordPress保守管理サービス詳細はこちら
WordPress乗っ取りの手口
代表的なWordPress乗っ取りの手口を確認しておきます。
- WordPressの脆弱性(セキュリティの弱点)を突く
- 管理者アカウントの乗っ取り
大きくは2つのパターンに分類されます。
WordPressの脆弱性(セキュリティの弱点)を突く
脆弱性を突いてくる攻撃は、定期的に問題となっています。ニュースなどの報道番組で取り上げられることも、少なくありません。
特に、WordPressは世界でもっとも利用されるWebサイト構築のシステムだけあって、その分ハッキングを狙うハッカー達が多くいます。
ハッキングや改ざんを防ぐためには本記事を参考にされるとともに、万が一セキュリティ系の事故が起きても復旧できるよう、常にバックアップを取っておくことも重要です。
SQLインジェクション
不正なSQL文の挿入を意味します。サイトのフォーム内に不正にSQLの文を入力し、システムの誤作動を起こさせる手法です。
クロスサイトスクリプティング
不正なJavaScript、HTMLなどを含めたURLをクリックさせ、ユーザーのブラウザに本物とそっくりな偽ページを表示させる手法です。
クロスサイトリクエストフォージェリ
訪問ユーザーとWebサーバー間のセッション管理の隙を突いてくる手法。不正なURLをクリックさせ、ユーザーになりすまして不正操作を行う。
ゼロデイ攻撃
サーバーやCMSなどに脆弱性が見つかったとき、一般的には開発側から更新プログラムが提供されます。この更新プログラムが準備されるまでの期間を狙ったものをゼロデイ攻撃と呼ばれています。
などが挙げられます。
②管理者アカウントの乗っ取り
サイトの管理者のパソコンが乗っ取られてしまうケースもあります。
一度、乗っ取られてしまうと簡単に情報が抜き取られてしまいます。また、発覚するまでに時間がかかりやすいので、注意しなければいけません。
標的型攻撃
その名の通り、特定の企業や組織、個人などを標的にした攻撃です。
開封させるよう念入りに仕組んだスパムメールを企業の部署に送りつけ、偽サイトへの誘導やマルウェアに感染させます。主に情報を盗むことが目的とされています。
ソーシャルエンジニアリング
特定のユーザーに対して、SNSをアプローチしアカウントを盗む手法です。人間の心理的な部分や隙を突き、自然に近づいてくるのが特徴です。
以上のように、改ざんには2つのパターンがあるので意識しておきましょう。
その他にも、国内で話題になった具体的な事例はこちらの記事で紹介しています。
WordPress乗っ取りで注意すべき3つのポイント
では、具体的にどういったサイトが改ざんの被害に合いやすいのでしょうか。
ここでは、改ざん被害に遭う可能性が高いサイトの特徴3つをご紹介いたします。
- 使用しているCMS(WordPress等)のバージョンが古い
- IDやパスワードの管理に不備がある
- ウイルスソフトを導入していないパソコンを使用している
1.使用しているCMS(WordPress等)のバージョンが古い
最近は多くのWebサイトで、WordPress等のシステム(CMS)が利用されています。これらのCMSはセキュリティを強化するため、バージョンアップが繰り返し行われているのです。
しかし、WordPress等のCMSでサイトを構築している人の中には、アップデートを行わず古いバージョンのまま使用している方もいます。
そのまま古いバージョンのWordPressを使用することで、セキュリティの脆弱性(Webサイトの弱さ)が放置され、サイト乗っ取り(改ざん)のリスクが高くなってしまいます。
2.IDやパスワードの管理に不備がある
WordPress等の管理画面にログインするためには、IDやパスワード、サーバーにアクセスするためにはFTP情報が必要です。これらの管理体制が甘いと、第三者が情報を奪いやすくなります。
IDやパスワード、FTP情報がわかれば、誰でも簡単にあなたのサイトを乗っ取ることができますので、これらの情報は厳重に管理しなければなりません。
特に複数の人が、全ての管理者権限のある、同じログインIDやパスワードを使っている状態は、大変リスクがあります。
他にも、IDやパスワードを覚えやすいように、簡単なものに設定していたり、複数のサイトで同じパスワードを設定していたりするのも危険な状態だといえます。
3.ウイルスソフトを導入していないパソコンを使用している
サイトを管理している人のパソコンが、ウイルス対策されていない場合も非常に危険です。
パソコンがコンピュータウイルスに感染すると、パソコン自体を乗っ取られて、パソコン内部の情報を奪われる可能性があります。
サイトの乗っ取りでデータの流出が起きると、あなたの大事なサイトが改ざんされるリスクが一気に高まってしまいます。
===WordPressのメンテナンス対応が面倒だと感じたらプロにお任せください!
>>WordPress保守管理サービス詳細はこちら
WordPress乗っ取りへの6つの対策
サイトが乗っ取られてしまうと、サイトの運営が停止するだけではありません。情報の漏洩やウイルスをばら撒く原因になってしまう可能性もあります。
万が一の被害拡大を防ぐためにも、以下のようなサイト改ざん対策は不可欠です。
- CMSのバージョンは常に最新の状態にしておく
- IDやパスワードのセキュリティ管理を強化する
- データベースパスワードを強化する
- サーバー管理画面のパスワードを強化する
- パソコンのウイルス対策を行う
- 定期的にバックアップを取っておく
あなたのサイトが乗っ取られないための対策について、説明していきます。
対策方法①:WordPressやプラグインのバージョンを最新の状態にしておく
WordPressなどのCMSで構築されたサイトの場合は、必ずアップデートを行い最新のバージョンを使用するようにしてください。
さらに、WordPress本体のバージョンアップだけでなく、プラグイン等も最新のものにアップデートしておくことを推奨します。
WordPress本体やプラグインには、定期的に欠陥(バグ)が発見されます。古いバージョンのままバグが残っていると、そこを攻撃されてサイトが乗っ取られる可能性があります。なるべく最新のバージョンにしておきましょう。
対策方法②:IDやパスワードのセキュリティ管理を強化する
CMSの管理画面にログインするためのIDやパスワードは、アルファベットや数字を組み合わせた複雑なものにしておくと推測されにくくなります。
IDを「admin」など、初期設定のままにしておくことは止めましょう。
さらに、全ての管理者権限のあるIDやパスワードを複数の人が使用することは避け、個別に権限を設定したIDやパスワードを発行しましょう。そうすることで、セキュリティ強化につながります。
そこで使っていただきたいのが、「大英文字、小英文字、数字」+「10文字」の組み合わせによるパスワードです。この組み合わせであれば、まず突破される心配はありません。
対策方法③:データベースパスワードを強化する
WordPressの改ざん事例には、データベースに直接アクセスされるケースがあります。
この原因の多くもパスワードによるものです。そのため、パスワードを強固にすれば、データベースにアクセスされる心配はありません。
ただし、データベースのパスワードはWordPressのコアファイルでも使用しています。そのため、パスワードを変更した際は該当ファイル「wp-config.php」のデータベースパスワード部分も併せて変更する必要があります。
対策方法④:サーバー管理画面のパスワードを強化する
4つ目の対策方法は、サーバー会社のログイン面の強化です。仮にWordPressやサーバー、データベースのセキュリティが頑丈だとしても、サーバー管理画面にログインされてしまうと意味がありません。
特に、インターネットに関わる人は利用するサービスが多いため、同じパスワードを設定しがちです。セキュリティ面を考慮するのであれば、簡単に突破されない強固なパスワードに設定し直すことを推奨します。
対策方法⑤:パソコンのウイルス対策を行う
サイト管理者が使用するパソコンのウイルス対策は、しっかりと行いましょう。
また、セキュリティソフトを導入するだけでなく、使用しているパソコンのOSやブラウザ、ソフトなどを常に最新の状態にしておくのも大事です。OSやブラウザのアップデートも、セキュリティ面の強化になります。
パソコンのセキュリティ強化は、サイトの改ざんを防ぐ基本です。普段から意識しておきましょう。
対策方法⑥:定期的にバックアップを取っておく
万が一、サイトの改ざん被害に遭ってしまったときのことを考え、定期的にバックアップは取っておきましょう。
WordPressを乗っ取られた後で対策しても、手遅れのケースがあります。すぐにサイトを復旧できるよう、サイトのデータを定期的にバックアップしておくことが大事です。
WordPressバックアップ方法については下記にまとめました。是非参考にしてください。
最近では、自動的にバックアップを取得してくれるレンタルサーバーも増えてきました。あなたが利用しているサーバーはどうでしょうか。
サイトの放置はNG!定期的なメンテナンスは必須
運営しているサイトを、普段からチェックせずに放置していると「サイトの改ざん自体に気づかない」というケースがあります。実はこれが最も恐ろしいパターンと言えます…。
乗っ取りやサイトの改ざんに気づくことが遅れるほど、確実に被害は大きくなるからです。
最悪の事態を避けるためには、定期的なサイトのメンテナンス、もしくは改ざん検知ツール(プラグインなど)を利用するべきです。
===WordPressのセキュリティ対策が不安な場合はプロへ任せるのが安心です。
>>WordPress保守管理サービス詳細はこちら
WordPressの改ざんを検知するプラグインとは
WordPressサイトの改ざんを検知してくれる便利なプラグインがあるのをご存知でしょうか。今回は「wpdoctor」や「SiteGuard」を紹介します。
どちらのプラグインも日本国内の企業が開発しているので、安心感があります。
SiteGuardのセキュリティ機能について
SiteGuard WP Pluginとは、WordPressのセキュリティアップを目的に開発されたセキュリティ用プラグインです。
SiteGuardの代表的な機能は次の通りです。
- 不正ログインの防止
- コメントスパムの防止
- プラグインの脆弱性チェック
- 攻撃の結果をPDF形式のレポートで出力
- 指定したアドレスへ検出内容を通知
SiteGuardは国内シェアも高く、Webサイトセキュリティの専門企業が開発したプラグイン。推奨できるプラグインの1つです。
Wpdoctorのセキュリティ機能について
Wpdoctorはファイル改ざんを検知・駆除するほか、感染したファイルがハッカーによる不正なコードの埋め込みかどうかまで判定できる、非常に優れたプラグインです。
- サイトの改ざんを検知する
- 指定したアドレスへ検出内容を通知
- 不正ログイン防止
- コメントスパムの防止
- 怪しいIPからのアクセスをブロックする
- WordPressや導入したプラグインの脆弱性を確認する
Wpdoctorをインストールした後、ウィルスチェック(Malware scan)をクリックするだけなので、手軽に使用できます。今回紹介した2つのプラグインは有料版と無料版がありますが、まずは無料で使ってみるのが良いでしょう。
※上記以外のツールやサービスもありますので、気になる方はこちらもチェックしてみてくださいね。
WordPress乗っ取りから復旧した事例のご紹介
WordPress保守管理サービスをご提供する弊社『サイト引越し屋さん』では、クライアントからWordPress乗っ取りやそれら事故から復旧のご相談をよくいただきます。
その中でも、酷い状況から復旧したケースのお話をしたいと思います。
まず、ご相談いただいた時点のWordPressは、サイトにアクセスするとリダイレクトによって他の不正サイトへ飛ばされてしまい、サイトが正常に表示できない状態でした。
また、スパムページが大量に自動生成され、SEOにおいてもマイナス評価を受けていました。
このような状況の中、サイト引越し屋さんにてセキュリティツールによるウイルスの調査及び除去、不正ページについても削除処理を実施しました。
平行して、クライアント側でサーチコンソールにて不正ページのインデックス削除申請を実施いただきました。
その結果、WordPressは正常にアクセス・表示されるようになり、Google検索における不正ページのインデックス削除とSEO評価の回復が確認できました。
===
本記事の内容は以上になります。
最後までお読みいただきありがとうございました。
\サイト引越し屋さんにてWordPress保守管理を代行中/
「WordPressの管理を自社で対応することに不安を感じている」
「セキュリティ対策だけでなくバージョンアップ等のメンテナンスもお願いしたい」
そんなときはサイト引越し屋さんにお任せください。
経験豊富なエンジニアがお客様の代わりに対応させていただきます。
この記事を書いた人
サイト引越し屋さん編集部
日本で最も利用されているサーバー移転&保守代行サービス『サイト引越し屋さん』の中の人です。 サイト引越しに関わる技術情報をはじめ、WordPressやその他のWebサービスに関するノウハウを発信しています。 全日本SEO協会所属。
本サイトにてご提供している情報については、最新かつ正確な情報を提供するよう努力していますが、情報の正確性や完全性を保証するものではございません。また、コンテンツには一部プロモーションが含まれております。本サイトの情報を利用することによって生じたいかなる損害に対しても、当社は責任を負いかねます。情報をご利用される際は、ご自身の判断と責任において行っていただきますようお願い致します。
