MENU
  1. ホーム
  2. WordPress
  3. WordPressの代表的な3つのハッキング手口と対策方法

WordPressの代表的な3つのハッキング手口と対策方法

WordPress

※この記事はNotion AIを活用して作成しています。

目次

はじめに

WordPressは世界で最も人気のあるCMS(コンテンツマネジメントシステム)の1つです。WordPressはブログ制作やECサイト構築などに幅広く使われており、世界中で数百万のサイトがWordPressを採用しています。
しかし、WordPressのハッキング被害事例が数多く報告されており、ウェブサイトを運営する上でセキュリティ面を重視しなければなりません。WordPressはオープンソースソフトウェアであるため、そのソースコードは誰でも閲覧可能です。このため、ハッカーはWordPressのソースコードを解析し、セキュリティ上の欠陥を突いてサイトに不正アクセスする手口を編み出してきました。
本記事では、WordPressに対する代表的な3つのハッキング手口とその対策方法について詳しく説明します。 WordPressサイトを安全に運営するための知識を習得してください。

攻撃手法1:管理者パスワードのブルートフォース攻撃

WordPressサイトの管理画面にログインするためには、管理者アカウントのユーザー名とパスワードが必要です。ハッカーはブルートフォース攻撃を使って管理者パスワードを推測し、サイトのフルアクセスを取得しようとします。
ブルートフォース攻撃とは、ハッカーがパスワード候補を生成し、それらを繰り返しサイトに入力してログインに成功するものを探す攻撃手法です。ハッカーはパスワードの候補として単語帳に載っている単語、個人情報、数字、記号などを組み合わせて生成します。
この攻撃に対しては、強固なパスワードの設定と2要素認証の導入が必要です。複雑で推測しにくいパスワードを設定するとともに、Google認証やAuthyなどの2要素認証サービスを使ってログイン時にSMSかトークンを入力させることで、パスワードだけではログインできない仕組みを施す必要があります。
また、ログイン失敗の回数を制限する設定も行うことをおすすめします。一定回数以上のログイン失敗が続くとアカウントをロックする設定にすることで、ブルートフォース攻撃を阻止する効果があります。

攻撃手法2:プラグインやテーマの脆弱性の攻撃

WordPressには数多くのプラグインやテーマが存在しますが、それらにセキュリティ上の欠陥がある場合、ハッカーはその脆弱性を突き、サイトに不正アクセスできる可能性があります。
WordPressのプラグインやテーマには、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの脆弱性が発見されることがあります。ハッカーはこれらの脆弱性を狙ってサイトにマルウェアを仕込む攻撃を仕掛ける可能性が高く、一度サイトがハッキングされてしまうと、そこから他のサイトへと影響が広がっていきます。
この対策として、プラグインやテーマはできる限り最近のバージョンを使用し、セキュリティパッチの適用を怠らないことが重要です。また、必要のないプラグインはアンインストールし、使用しているプラグインやテーマのレビューなどを参考に、セキュリティが担保されたものを選択する必要があります。
脆弱性の修正がなされていない古いバージョンのプラグインやテーマを使用しているサイトは、攻撃の標的とされる可能性が非常に高くなります。WordPressサイトのセキュリティを高めるためには、プラグインやテーマの最新化は欠かせない要素です。

攻撃手法3:フィッシングによる情報の取得

ハッカーは偽のサイトやメールを使って、管理者のログイン情報を取得しようとするフィッシング攻撃を行う可能性があります。WordPressサイトの管理者であることを装って、ログイン情報を入力させるのです。 例えば、偽のWordPressサイトを作成し、ログイン画面をそっくりそのままコピーすることで、管理者にそのサイトでログインするよう誘導します。入力されたユーザー名とパスワードはハッカーに送信され、本来のWordPressサイトに不正アクセスされてしまうのです。 また、管理者宛てに送信されるように偽装したメールのリンク先に偽サイトを作成し、そこでログイン情報を入力させる手口もあります。この対策として、偽サイトやメールには十分注意を払い、決して個人情報やログイン情報を入力してはいけません。 本来のサイト以外でのログインを要求するメールが届いた場合は、送信者が正しいかどうか確認する必要があります。URLの細部にも注意を払ってください。「wordpress.com」と「wordprеss.com」(「е」がキリル文字の「エ」になっている)は見分けがつきにくいのですが、後者は詐欺サイトでしかないでしょう。

まとめ

WordPressは便利なCMSである反面、セキュリティ面では常に脅威にさらされています。本記事で説明した代表的な攻撃手法3種類に加え、その他にも多くのハッキング手口が存在します。
WordPressサイトを安全に運営するためには、セキュリティソリューションの導入はもちろんのこと、管理者自身がセキュリティに対する意識を高める必要があります。パスワードの複雑化、2要素認証の設定、プラグイン・テーマの最新化など、対策は数多くありますが、そもそも管理者自身が個人情報やログイン情報が漏れないよう、日頃から警戒を強めることが重要です。
本記事がWordPressサイトのセキュリティ向上に役立つ情報となれば幸いです。ぜひ参考にして、自サイトを安全なものにしていってください。

WordPress
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

Fujimori@元経営者のマッチョマーケターのアバター Fujimori@元経営者のマッチョマーケター

システム会社に営業として十年程度勤めた後、独立してWeb関連など複数の会社を設立。独学でHTML・CSSを学び自社Webサイトを制作し、実践にてSEOとWebマーケティングの独自ノウハウを得る。自社採用においては独自の方法で採用マーケティング活動を行い、100名以上の面接を経験。十数年の会社経営後、2018年からコンサルティング会社でインハウスWEBマーケターとWEB事業責任者を担当。同時にストーンウェブにてSNSアドバイザー・WordPressサイト制作事業を展開。

関連記事

目次