WordPressの脆弱性、知らなきゃまずい被害対策

更新日:2020年08月07日 発注カテゴリ: ホームページ制作・デザイン
WordPressの脆弱性、知らなきゃまずい被害対策

wordpressはホームページやブログを制作するツールとして、世界中で多くの人に使われています。その分、悪意のある人物からの攻撃も受けやすいという面を抱えています。どんな危険性があり、実際にどんな攻撃をされているのかを知ることで、セキュリティ意識を高めることができます。同時に、今すぐ行える対策を講じて、安全なサイトを作るようにしましょう。

関連する記事

そもそも脆弱性とは?

企業のシステムやネット上のサイトに侵入されてしまう危険性のある、システム上の弱いところを脆弱性と呼びます。しばしば、システム上の何らかの設計上のミスや、コードの不備などによって脆弱性が生まれます。

悪意のある第三者は、こうしたシステム上の欠陥を探して、そこを付いてシステムの中に侵入することができます。一度中に入ってしまえば、情報を抜きとったり中身を変えたりできますので、大きな被害をもたらすことになります。

WordPressの脆弱性を突いた攻撃手法の一覧

ハッカーはいろいろな手段を使って脆弱性を付いてきます。無数の方法がありますが、より多く使われる手法というのがありますが、そこを押さえて対策を講じるだけでもかなり違います。

ブルートフォースアタック

総当たりアタックとも言われる、パスワードを突破する攻撃方法です。パスワードの組み合わせは記号と英数字ですので、考えられるすべての文字列の組み合わせをひたすら入れて突破しようとします。

もちろん手作業で行うわけではなく、特殊なプログラムを使って超高速で行います。パスワードが知られてしまえば、wordpressの管理画面に入れますので、事実上何でもできてしまいます。

SQLインジェクション

データベースに向かって攻撃をするという形を採ります。データベースを管理しているシステムに対して、コードを送信して内部に侵入するという手口を取ります。

データベースには、サイトの管理プログラムが入っていますし、顧客の情報も保存されています。それらの情報を盗むこと、サイトのプログラムを書き換えて改ざんするというのが主な目的です。

コンテンツインジェクション

サイトのコンテンツ自体を攻撃するという手法です。wordpressのサイト管理プログラムに不正コードを送り、コンテンツを改ざんします。

何かの情報を盗む目的のものもありますが、多いのはページの中身を変えてしまうということです。大量にサイトが改ざんされることもあり、サイトの不安定さを引き起こします。

セロディ攻撃

プログラムの脆弱性が発見された際に、提供元がその対策として改修に必要名アップデートを配布する前に、その脆弱性を突いて攻撃する手法の総称です。

プログラムの脆弱性が広く知られる前に攻撃することも含まれます。具体的な攻撃内容は状況によって多種多様で、この攻撃によりさまざまな攻撃を受ける可能性があります。

クロスサイトスクリプティング

悪意のあるコンテンツやプログラムを脆弱性のあるサイトやサーバーに罠として仕掛けて置き、ユーザーが対象のサイトを訪れると罠が作動する仕組みです。

単純なものとしては、掲示板やブログのコメント欄にリンクを投稿しておき、ユーザーがリンクをクリックすると被害を受けるといったもので、多くの方がそういったものがあることは知っているのではないでしょうか。これにより、ユーザーはフィッシング詐欺に巻き込まれたり、個人情報を不正に盗み取られたりします。

WordPressの脆弱性を放置するとどうなる?

WordPressの脆弱性を放置するとどうなるのでしょうか?いくつかの事例に分けて見ていきましょう。

サイトの改ざんや削除

WordPressの脆弱性をついて不正ログイン等されることで、投稿した記事の内容が改ざんされたり、削除されたりすることがあります。ログインの状況を確認したり、記事の内容が不自然に改ざんされたりしていないか注意しておく必要があるでしょう。

管理画面にアクセスできない

さらに不正ログインされてから管理情報が変更されることで、管理画面にアクセスできないといった事態に発展する可能性があります。ログインできないことも問題ですが、さらに支払いに関する情報等抜き取られてしまうと大きな被害に発展してしまうリスクもあります。

Googleブラックリストに登録される

サイトの内容を改ざんされることでGoogleから悪質なサイトだと判断されるとブラックリストに登録される可能性があります。ブラックリストに登録されると、Googleの検索結果に表示されなくなるため注意が必要です。

ユーザー情報の漏洩

不正ログインされたり、管理情報の変更がなされたりすることで、ユーザー情報を収集するプログラムのあるサイトの場合、不特定多数のユーザー情報が漏洩してしまう可能性があります。
サイトの規模が大きく、膨大な量のユーザー情報を扱うサイトの場合はよりセキュリティに力を入れる必要があります。

最悪の場合、損害賠償を支払うことも

ユーザー情報が漏洩した場合、最悪のケースでは損害賠償を支払わないといけなくなる可能性があります。漏洩した個人情報について、2015年のデータを見てみると1人あたり2万8,000円の損害賠償を支払っていることになります。

例えば、1,000人のユーザー情報が漏洩した場合で損害賠償額は2,800万円となる計算です。
上記はあくまでも平均額ですが、漏洩したデータにクレジットカードの情報が含まれている場合、賠償額はもっと高額になる可能性もあります。

WordPressの脆弱性を突いた被害例

ここでは、実際に起こったWordPressの脆弱性を突いた被害例について見ていきたいと思います。

Pingback機能を悪用したDDoS攻撃

WordPressはPingbackと呼ばれるリクエストを受け付ける機能が初期設定で有効となっており、この機能を利用してWordPressで構築されたWebサイトに大量のリクエストを送りつけることでサイトをダウンさせる攻撃が行なわれたものです。

この事例の特徴としては、不正なソフトウェアを感染させるというものではなく、WordPressが持つ機能を利用したという点が挙げられます。

REST APIの処理に起因する脆弱性攻撃

WordPress 4.7,0から4.7.1において存在した脆弱性として、細工したリクエストを送信することで投稿内容を改ざんするというものがありました。

これは当時、WordPressの脆弱性の中でも深刻なもので、権限のないユーザーでも特定の文字列を入力するだけでコンテンツの書き換えができてしまったのです。WordPress.orgもすぐに修正パッチを公開しましたが、それが浸透するまでに155万件にも及ぶ被害が出たと言われています。

WordPressの脆弱性に関する対策一覧

こうしたサイトへの攻撃は、何も政府機関や大企業のサイトに限ったことではありません。セキュリティ対策をしていないと、中小企業でも個人でも攻撃を簡単に受けてしまうことになります。

サイトを開く時には、ハッカーからの攻撃がありえるという意識を持って、最初期から対策をするようにしましょう。

最新バージョンにバージョンアップする

wordpressは常にセキュリティ対策を講じていて、何かしらの脆弱性が見つかるとすぐに改善します。また、ハッカーによる新しい手段の攻撃方法が確認された場合も、その対応を取ります。

そして、その対策パッチを公開してユーザーが使えるようにしています。そのため、最新バージョンが出たらすぐに更新するというのは、最も効果的な対策の一つです。

ログインページのアドレスを変更する

wordpressの管理画面へのログインは、「○○/wp-admin」というのがデフォルトのアドレスです。このアドレス自体を変えてしまえば、ハッカーが侵入しようと思っても、そもそもログイン画面にも行けないことになります。

ログインページのアドレスを変更するためには、いくつかの専用プラグインがあります。レンタルサーバーの中には、デフォルトでこうしたプラグインを入れているところもありますので、積極的に使いたいものです。

わかりにくいユーザー名とパスワードの設定・2段階認証

よく使われるユーザー名とパスワードを変えるだけでも、セキュリティ効果が上がります。自分の名前やサイトのURLなどを関連のある文字列は使わないようにしましょう。

また、2段階認証を導入するというのも効果的です。専用のプラグインを入れて、SMSやメール、Googleの認証システムを使うという手もあります。

SQLインジェクションを対策する

SGLインジェクションへの対策では、WAFを導入するという方法が効果的です。いろいろなシステムが提供されていますので、クラウド型のWAFなど使いやすいものを選ぶようにしましょう。

WAFはものによっては、管理環境をいろいろといじらないといけなかったり、プロにチェックしてもらったりする必要のあるものもあります。できるだけ手間のかかないシステムを選ぶことで、負担を減らすことができます。

HTTPS化

今や基本となっているHTTPS化は必須として行いましょう。wordpressでは環境設定一つで行える簡単なものですので、忘れないようにしましょう。

HTTPS化されていないサイトは、ブラウザ自体がはねてしまうというスマホやパソコンの設定にしているユーザーもいます。顧客の脱落を防ぐ意味でも、必ずチェックしておきたいものです。

wp-config.phpをアクセス不可にする

wp-config.phpからアクセスして、Webサーバーの参照元を改ざんするという被害が見られます。そもそも、このphpにアクセスできないようにしておけば、かなりの程度侵入は防げます。

管理画面からアクセス制限をすることができますので、制作を外注しているというのでない限り制限をかけておいた方が安心です。また、レンタルサーバーによっては、デフォルトで制限がされていることもありますので、その設定はいじらないでおきましょう。

セキュリティ関連のプラグインを活用する

wordpressコミュニティにあるプラグインの中には、かなりセキュリティ関連のものがあります。特に顧客の個人情報を収集している、決済手段を導入しているという場合には、セキュリティプラグインは欠かせません。

最新の対策を更新して提供しているもの、他の対策では追い付かないところをしてくれるものを選んで導入するようにしましょう。

WordPress脆弱性の情報収集に役立つサイト3選

ここでは、WordPressの脆弱性に関する情報収集に役立つサイトを3つご紹介していきます。

JVN iPedia 脆弱性対策情報データベース

JVN iPediaでは国内外問わず、またWordPressに限らず多くの脆弱性に関する情報が日々公開されています。WordPressに関する情報を検索したい場合にはトップページの検索窓に「WordPress」と入力して検索するとよいでしょう。

IPA 情報処理推進機構

IPA 情報処理推進機構では情報セキュリティに関する最新情報等を確認することができます。
話題の脆弱性に関する内容や影響を受けるバージョン、具体的な対策など詳しい情報を参照できるようになっています。

JPCERT コーディネーションセンター

JPCERT コーディネーションセンターでは脆弱性に関する情報やセキュリティに関する情報など確認できます。他の2つのサイトと併用して情報の取りこぼしがないようにするとよいでしょう。

WordPressの脆弱性診断の無料ツール一覧

WordPressの脆弱性については、無料で診断できるツールを利用できるようになっています。ここでは、それら無料ツールの内3つをご紹介していきます。

Sitecheck

セキュリティ企業Sucuri社が提供している無料診断ツールで、URLを入力するだけでWordPressサイトの脆弱性に関する情報を診断できます。

診断では、MinimalからCriticalまで5段階で評価が表示される分かりやすいものです。セキュリティ会社の実施する無料診断ツールということもあり、一度は診断してみてはいかがでしょうか。

KYUBI

KYUBIはメールアドレスと名前を登録して毎月診断してもらえるWebサービスで、WordPress本体とテーマ、プラグインに対してそれぞれ脆弱性診断を行ってくれます。

無料ツールを使って気に入ったら、有料プランに移行することも可能で、プランによって診断回数を月5回や無制限など増やしていくことができます。

ワードプレス・ドクター

ワードプレス・ドクターはSiteCheckと同様、URLを入力するだけで脆弱性を診断できるWebサービスです。こうした無料診断ツールはそれぞれアルゴリズムが異なるため、複数のサイトで診断してみるとよいでしょう。

WordPressの脆弱性についてのまとめ

wordpressは世界中のユーザーに使われている分、ハッカーによる攻撃も多いツールです。脆弱性が露見したら、すぐに運営元でもパッチを配布しています。

それでも、自分自身でセキュリティ対策をするのはサイト運営者の責任とも言えます。常に脆弱性についての情報を収集し、できるだけの対策を講じるようにしましょう。とはいえ、担当者が自社対応でセキュリティ対策するのには限界があります。

特にサイトからの集客に事業の収益の多くを頼っているケースや、大量のユーザー情報を扱うサイトの場合、セキュリティを破られたときのリスクは非常に大きなものとなります。

こうしたことにならないよう、専門家を頼ることも考えるとよいでしょう。比較ビズでは、情報セキュリティに関する専門業者が多数登録されているので、まずは複数の業者に問い合わせすることをおすすめします。

ホームページ制作・デザインを一括見積もりで発注先を楽に探す

ホームページ制作・デザインの案件一覧

ホームページ制作・デザインのお見積り案件の一覧です。このような案件に対応したい場合は「資料請求フォーム」よりお問い合わせください。

比較ビズへ掲載しませんか?

カテゴリ一覧

人気記事

ホームページ制作・デザインの最新記事

一括見積もりで発注業務がラクラク!

  • 無料一括見積もりで募集開始
  • 複数の業者・専門家から提案が入る
  • ピッタリの一社を見つけよう

不透明な見積もりを可視化できる「比較ビズ」

比較ビズは「お仕事を依頼したい人と受けたい人を繋ぐ」ビジネスマッチングサービスです。
日本最大級の掲載企業・発注会員数を誇り、今年で運営15年目となります。
比較ビズでは失敗できない発注業務を全力で支援します。

日々の営業活動で
こんなお悩みはありませんか?

営業活動でよくある悩み

そのお悩み比較ビズが解決します!

詳しくはこちら
お電話での見積もりはこちら