MENU
WEBあれこれ。特にWordPressについて。

ホームページを脅威から守る: WordPressのセキュリティ対策

セキュリティ WordPress
目次

セキュリティ対策が重要な理由

悪意のある攻撃者が狙うターゲットはWordpressに限ることはありませんが、世界中のホームページの43.7%で使用されており、CMSシェアでも世界No.1の62.2%を獲得 (2024年12月11日時点)しているWordpressは、利用者が多いため悪意のある攻撃者に狙われやすいことが事実としてあります。狙われやすい理由の一つには、広く普及しているが故に、多くの初心者が知識が少ないまま利用しており、セキュリティが甘いままのホームページも少なくないため、攻撃者にとって見るとWordPressは効率よく多くのホームページを狙えるツールだとも言うことができます。

小規模なホームページでも安心ではない(WordPressに限らず)

「ニュース報道を見ていると、標的にされて被害を受けるのはほとんどが大企業ですよね?」と思われている方も多いようですが、近年は小規模なホームページがセキュリティホールを標的にして攻撃されるケースが増加しています。主として他のホームページへの攻撃の「踏み台」として悪用されてしまうケースがあります。この場合、結果的に攻撃者に加担してしまうことになり、場合によっては賠償責任の対象にもなり得ます。

攻撃の被害の実例は?

よくあるセキュリティ被害の例

  • SPAMメールや詐欺メールの配信元として悪用される
  • フィッシング詐欺目的のために改ざんされる
  • サーバーが他システムへの攻撃の踏み台として使われる

乗っ取られ、踏み台として利用される例

ホームページが乗っ取られ、管理者通知やお問い合わせメールフォームなどで利用される「WordPressのメール送信機能」を悪用して、SPAMメールや詐欺メールの配信元として使われてしまう例があり、配信元になることで正規のメール送受信ができなくなったり、そのために社会的信用と信頼が損なわれてしまうことに繋がってしまう例があります。不正スクリプトが埋め込まれて、ホームページ運営者の意思とは無関係に、多方面に大量のSPAMメールが送信される、というケースです。結果、利用しているサーバーのIPアドレスが、スパム対策団体やスパムフィルタリングサービスなどのブラックリストに登録され、正規メールが送信できなくなることもあります。そうなれば、ホームページ運営者の信頼性も損なわれてしまいます。脆弱性のあるテーマ(デザインテンプレート)や、プラグイン(拡張機能)を通じて侵入されることがほとんどです。

フィッシング詐欺のために改ざんされる例

フィッシング詐欺用のページへのリンクが気付かないうちに設置され、訪問者の個人情報やクレジットカード情報が盗まれる例があります。フィッシング詐欺用のページとは、クレジットカード情報、個人情報、パスワードなどを盗むために用意されたサイトで、本物とすりかえられて見た目では区別がつかないため、訪問者が詐欺にあうケースが増えています。フィッシング対策協議会によると、2023年(上半期+下半期)のフィッシング報告数は、過去最高の100万件を超えています。被害事例として多いのは「決済ページ」を通じて入力されたクレジットカード情報がそのまま盗まれる事例です。脆弱性のあるテーマ(デザインテンプレート)や、プラグイン(拡張機能)を通じての侵入、IDやパスワードが流出または不正に入手されたりして不正なログインをされて改ざんされてしまう、といった例があります。

既知の脅威

DDoS攻撃

一度に複数のパソコンからサーバーにアクセスを集中させ、サーバーをダウンさせるサイバー攻撃

ブルートフォースアタック(総当たり攻撃)

ID、パスワードなどを手あたり次第に試す、プログラムによる機械的で力づくな攻撃

XML-RPC機能(リモート機能)悪用

XML-RPC機能から他システムに対して大量のリクエストを送信してサーバーリソースを過剰に消費させてホームページをダウンさせる

WordPressで対処すべきセキュリティ対策の基本は

常に最新のバージョンにアップデート

WordPress本体・テーマ(テンプレート)・プラグインを常に最新のバージョンにアップデートすることが必須です。

不要な機能は無効化する

使用していないプラグイン、テーマは放置状態にしないで削除または無効化すること

WordPressの運営に適したWebサーバーで運用

サーバーのセキュリティを強化する

SSL化する(HTTPSを導入する)

常時SSL化をする=こちらの記事を参照してください

WebMemorandum@DoraNekoWeb
ホームページはSSL化が必須 | WebMemorandum@DoraNekoWeb SSL(Secure Sockets Layer)とは SSL(Secure Sockets Layer)とは、インターネット上でウェブサイトとユーザーの間のデータ通信を暗号化する仕組みのことです。これによ…

以下の項目が設定可能なセキュリティプラグインを導入する

・定期的にバックアップを取る
・管理画面ログインパスワードを強力なものにする
・管理画面にアクセス制限をかける

私たちが提供する、Xserverで運用するWordpress+SWELLでは、サーバー・ホームページ側ともども、あらかじめ適切なセキュリティプラグインを導入し適切な設定を行っており、上記各項の脅威に対するセキュリティ対策を実施済みですが、新たな脅威に対するセキュリティ対策を確実に行うためにもWordpress本体・テーマ(テンプレート)・プラグインを常に最新のバージョンにアップデートすることを怠ってはいけません。

セキュリティ WordPress
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次