こんにちは、ジーピーオンラインのおおしろです!
WordPressを使用すれば、ホームページやブログを簡単に作成することが可能です。
しかし、セキュリティの面において脆弱性が指摘されており、サイバー攻撃を受ける恐れがあります。
たくさんの情報を公開していると、悪意のあるハッカーから情報を盗み取られたり、内容を改ざんされたりすることもあるでしょう。
そのような攻撃からホームページやブログを守るためには、WordPressの脆弱性を理解し、しっかりと対策することが重要です。
今回はWordPressの脆弱性や対策方法、対策におすすめのツールなどを紹介します。
もくじ
- WordPressの脆弱性とは?
- WordPressの脆弱性の放置シナリオ
- WordPressの脆弱性を狙った不正攻撃
- コンテンツインジェクション
- SQLインジェクション
- ブルートフォースアタック
- ゼロディ攻撃
- クロスサイトスクリプティング
- WordPressの脆弱性への対策方法
- WordPressのバージョンを常に最新にする
- プラグインの状態を最新に保つ
- 管理画面のユーザー名・パスワードを随時変更する
- HTTPS化を実施する
- 未使用・停止中のプラグインを削除する
- WordPressの脆弱性チェックにはツール利用がおすすめ
- WPSec
- Wpdoctor
- 攻撃遮断くん
- KYUBI
- まとめ
WordPressの脆弱性とは?
コンピュータの OS やソフトウェアにおいて、設計ミスやプログラムの不具合などが原因となり発生した情報セキュリティ上の欠陥を「脆弱性」と言います。セキュリティホールとも呼ばれ、脆弱性の残っているコンピュータを利用していると、ウイルスに感染したり不正アクセスされたりする可能性が高いです。
特にWordPressは脆弱性の問題において指摘されています。
簡易的で使いやすいのがWordPressの良いところですが、たくさんの情報を公開していると悪意を持っているハッカーにとって都合が良いです。
WordPressは全て共通の構造になっているため、一度にたくさんの攻撃を受けやすいといったデメリットがあります。特に多くのハッカーは、WordPressのプラグインを利用して攻撃します。
そのため、多くのプラグインを導入していると、そのぶん攻撃されるリスクが高くなります。
世界的にみても約3割のホームページがWordPressを使って作られており、WordPressの使用は他のツールと比べて多いです。ハッカーがWordPressの攻略法を知っていれば、世界中の3割のホームページを攻撃しウイルス感染させることが可能です。
ホームページやブログがウイルスに感染すると、情報が盗まれる、もしくはページの内容を勝手に改ざんされてしまうので、そうなる前に対策を打っておきましょう。
WordPressの脆弱性の放置シナリオ
WordPressの脆弱性を放置すると悪意のあるハッカーに狙われてしまい、サイト改ざん・削除、管理画面へのアクセス不可、情報漏洩が起きてしまいます。
ハッカーはWordPressを使っているユーザーやWordPress本体、WordPressで使えるプラグインから攻撃を仕掛けます。ユーザーが攻撃される時は、ターゲット型の攻撃を仕掛けてくるので気をつけておかなければなりません。パソコンなどがマルウェアに感染させられてしまい、保存していた情報が流出してしまう危険性があります。
WordPressの本体を攻撃されると、簡単にウェブサイトの改ざんが可能となります。
攻撃されたサイトからの情報を不正取得することもできるので、脆弱性の問題が見つかった場合には早めの対策が必要です。
また、多くの場合ハッカーはプラグインから攻撃を仕掛けてきます。
プラグインを導入すると、WordPressを自由にカスタマイズすることが可能です。しかし、プラグインに脆弱性の問題が発生した場合、そこを攻撃されることになります。
プラグインを攻撃されると、サイト改ざん・削除、管理画面へのアクセス不可、情報漏洩が起きてしまいます。そのため、プラグインに脆弱性の問題が発生した場合すぐに対処することが必要です。
WordPressの脆弱性を狙った不正攻撃
WordPressの脆弱性を狙った不正攻撃の種類としては、以下のようなものがあります。
- コンテンツインジェクション
- SQLインジェクション
- ブルートフォースアタック
- ゼロディ攻撃
- クロスサイトスクリプティング
「コンテンツインジェクション」や「SQLインジェクション」はWordPress のコンテンツやデータベースを攻撃する方法です。この攻撃が行われると、ホームページやブログの内容が改ざん、もしくは消去されてしまいます。
「ブルートフォースアタック」はパスワードを解析される攻撃方法です。パスワードが悪意のある第三者に知られてしまうと、多くの悪事に利用されてしまいます。
「ゼロディ攻撃」 はプログラムの脆弱性が発見された際、その脆弱性を使って攻撃する手法です。
「クロスサイトスクリプティング」は掲示板やコメント欄などに悪意あるウェブサイトのURLを含んだリンクを投稿し、クリックすると被害を受けるというような攻撃です。
ここでは、それぞれの攻撃について詳しく解説していきます。
コンテンツインジェクション
WordPressで作られているコンテンツに対して、外部から不正な文字列やコードを送ることで、そのコンテンツを改ざんしたり消去したりすることができます。コンテンツインジェクションを使えば、一度に大量のホームページを改ざんや消去することが可能となります。
データベースの中には、顧客からの問い合わせ内容や会員の個人情報など、多くの情報が保存されています。データベースを攻撃されることにより、個人情報の流出に繋がってしまうので、しっかりと対策を取っておくことが必要です。
SQLインジェクション
ハッカーはデータベースに対して不正なコードを送ることで不具合を生じさせ、データベースの中に侵入することが可能です。WordPressで使われているデータベースに対する攻撃を「SQLインジェクション」といいます。
データベースの中には、顧客からの問い合わせ内容や会員の個人情報など、多くの情報が保存されています。データベースを攻撃されることにより、個人情報の流出に繋がってしまうので、しっかりと対策を取っておくことが必要です。
ブルートフォースアタック
「ブルートフォースアタック」とは手当たり次第に多くのパスワードの試し、ログインする攻撃方法です。パスワードを解析されてしまうため、管理者としての権限を利用して何でもできてしまいます。コンテンツの削除や改ざんはもちろんのこと、サイトを乗っ取られてしまうため個人情報のデータを取得されるといった場合もあります。
ゼロディ攻撃
プログラムの脆弱性を多くの人に知られる前に攻撃する手法を「ゼロディ攻撃」といいます。ハッカーはプログラムの提供元が必要なアップデートをおこなう前に攻撃し、情報を盗んだり、コンテンツの内容を削除もしくは改ざんしたりします。
どのような脆弱性に対する攻撃なのか限定することはできないので、様々な攻撃を受ける可能性があります。プログラムの脆弱性を発見した際には、攻撃される前に対処しましょう。
クロスサイトスクリプティング
「クロスサイトスクリプティング」の攻撃者は、攻撃対象のWebサイトの脆弱性を突いて罠を仕掛けます。
具体的には、掲示板やコメント欄などにURLを含んだリンクを投稿します。そして、ユーザーがリンクをクリックした際に被害を受けるといった攻撃方法です。
「クロスサイトスクリプティング」の主な被害内容としてはフィッシング詐欺があります。
また、サイトマップを改ざんし検索順位を低下させたり、トラフィック数が減少したりといったケースも見受けられます。
WordPressの脆弱性への対策方法
自身のホームページやブログが攻撃されないためには、WordPressの脆弱性への対策をおこなっておくことが重要です。WordPressの脆弱性の対策には、以下のような方法があります。
- WordPressのバージョンを常に最新にする
- プラグインの状態を最新に保つ
- 管理画面のユーザー名・パスワードを随時変更する
- HTTPS化を実施する
- 未使用・停止中のプラグインを削除する
WordPressやプラグインを最新の状態に保つことにより、ハッカーからの攻撃を防ぐことが可能です。
また、ユーザー名やパスワードを随時変更し、ログイン情報を盗まれないようにしましょう。
HTTPS化されていないサイトは、HTTPS化することにより通信内容が保護されます。
未使用・停止中のプラグインを削除することによっても、プラグインからの攻撃を防ぐことができます。
WordPressのバージョンを常に最新にする
WordPressのバージョンを常に最新にしておくことはとても重要です。WordPressは月に1回程度のペースで、機能追加や脆弱性対策などでアップデートをおこなっています。アップデートにはメジャーアップデートとマイナーアップデートの2種類があります。
メジャーアップデートはWordPress内で大きな変更や機能追加を伴う修正です。
場合によってはプラグインやテーマに影響があるので、サイトやプラグインへの影響範囲を確認してからおこなった方が良いでしょう。
マイナーアップデートは脆弱性対策や軽微な修正となります。
サイトのレイアウトが大きく崩れたり、使用しているプラグインが使えなくなったりといった可能性は低いので、早めにアップデートをおこないましょう。
また、アップデートをおこなう前には必ずバックアップを取っておくようにしましょう。
テストサイトなどを持っている場合は、一度テストサイトなどで影響が出ないか確認してからおこなうことをおすすめします。
プラグインの状態を最新に保つ
WordPress同様、テーマやプラグインも最新の状態に保っておきましょう。
常にテーマやプラグインを最新の状態に保つことが、脆弱性の問題に対して効果的な対策方法となります。
しかし、長らくアップデートされてないテーマやプラグインも存在します。そのようなテーマやプラグインは脆弱性の問題がある可能性が高いです。
1年以上アップデートされていないテーマやプラグインは、使用を停止することをおすすめします。
新しくテーマやプラグインを導入する場合も、1年以上アップデートされていないものは控えたほうが良いでしょう。
テーマやプラグインのアップデート状況は、最終更新日や開発ログから確認することが可能です。
それらを参考にしながら、プラグインを導入するか検討しましょう。
管理画面のユーザー名・パスワードを随時変更する
WordPressへの不正ログインを防ぐためにも、ユーザー名やパスワードは随時変更するようにしましょう。
また、ユーザー名とパスワードを複雑にしたり、ログインページのアドレスを変更したりすることも効果的です。
WordPressのデフォルト設定では、投稿者名としてユーザー名が投稿ページに公開されています。
ユーザー名がわかってしまうと、「ブルートフォースアタック」での不正ログインを引き起こしてしまう恐れがあります。そのため、ユーザー名を公開しないよう設定を変更しておきましょう。
HTTPS化を実施する
HTTPS化は今や必須となっています。 パソコンやスマホの設定により、HTTPS化されていないサイトを表示させないユーザーもいるので必ずHTTPS化しておきましょう。
WordPressでは環境設定でおこなうことができます。 HTTPS化することにより通信の営業が保護され、第三者が通信内容を傍受したり通信内容に変更を加えたりすることを防ぐことが可能です。
また、Google検索においてもHTTPS化は、ランキングを決める重要な要素のひとつです。 安全なWebサイトであることを示し、ユーザーに信用してもらうためにもHTTPS化の実施をおすすめします。
HTTPS化についてはこちらの記事をお読みください。
【関連記事】常時SSL化(HTTPS化)とは?Web担当者がおさえておきたいメリットと注意点
未使用・停止中のプラグインを削除する
ハッカーは脆弱性のあるプラグインから攻撃を仕掛けてくる場合もあるので、未使用や停止中のプラグインは削除するようにしましょう。
プラグインの内容によっては、管理画面のURLを変更したり、管理画面へのログイン試行回数の制限をしたりすることが可能です。 2段階認証を追加するプラグイン「Google Authenticator」や画像認証を追加できるプラグイン「SiteGuard WP Plugin」なども存在します。
このようなプラグインを使用することにより、ハッカーからの攻撃を防ぐことができますが、あまり多くのプラグインを導入することはおすすめしません。 プラグインの導入が多ければ多いほど、ハッカーから攻撃される確率も上がるからです。
使用していないプラグインを削除することにより、ハッカーから攻撃される可能性を低くすることが可能です。 そのため、プラグインは必要最低限のものを導入するように心がけましょう。
WordPressの脆弱性チェックにはツール利用がおすすめ
WordPressの脆弱性をチェックするためのツールには様々なものがあります。
その中でも、おすすめのツールは以下のようなものがあります。
- WPSec
- Wpdoctor
- 攻撃遮断くん
- KYUBI
「WPSec」や「Wpdoctor」はオンラインセキュリティ診断サービスです。 WebサイトのURLを入力するだけで、脆弱性の確認ができます。
「攻撃遮断くん」はWebサイトへの攻撃を可視化し、遮断するセキュリティサービスです。
「KYUBI」はWordPressのテーマやプラグインに対して脆弱性を判断してくれるサービスとなっています。
以下ではそれぞれのツールについて詳しく説明していきます。
WPSec
「WPSec」はRubyで作られたオンラインセキュリティ診断サービスです。
自身のサイトのURLを入力するだけで、どのサービス部分に脆弱性が多いか数値によって表されます。
また、 WordPress のプラグインとしても提供されているので、そちらを利用しても良いでしょう。
Wpdoctor
「Wpdoctor」も自身のサイト脆弱性がないか確認できる診断ツールです。
URLを入力するだけで脆弱性の検査レポートを手に入れることができます。こちらは「WPSec」と違い説明が日本語なので、英語がわからない方でも使いやすい診断ツールとなっています。
攻撃遮断くん
「攻撃遮断くん」は Web サイトや Web サーバーへの攻撃を可視化し、遮断してくれるセキュリティサービスです。サイバーセキュリティクラウドが提供元となっており、「クロスサイトスクリプティング」や「ブルートフォースアタック」 といった攻撃をリアルタイムで検知し遮断してくれます。
「攻撃遮断くん」を利用するためには登録が必要ですが、登録することにより契約したWebサーバーへの攻撃の情報を確認することができます。
URL:https://www.shadan-kun.com/
KYUBI
「KYUBI」はWordPress本体とテーマ、プラグインに対して、それぞれ脆弱性の診断を毎月行なってくれるサービスです。
「KYUBI」は無料で利用することは可能ですが、利用するためには登録が必要です。
また、有料プランに移行することもでき、プラン内容によっては診断回数を無制限などに増やしていくことが可能となっています。
まとめ
WordPressはホームページやブログの作成において非常に便利ですが、脆弱性の問題が指摘されています。
対策を怠ると、コンテンツが削除されてしまったり内容が改ざんされてしまったりする恐れがあります。
データを盗まれてしまえば、個人情報流出の原因となってしまう恐れがあるので、脆弱性の問題を発見したらすぐに対策するよう心がけておきましょう。
専門知識がなくても対応できる対策もあり、脆弱性を診断できる無料ツールも存在するので、ぜひ本記事を参考に対策をおこなってみてください。
WRITERおおしろ 広報
Webサイトの解析や広告運用など、Webマーケティングに関する記事を執筆していきます。
