ホーム
パソコンおよびWEBサイトのセキュリティー

WordPress

WEBサイトに限定した内容

世界中のWEBサイト(小~中規模)の約7割でWodPress(以下WP)が利用されており、攻撃を受けるリスクが非常に高いCMSです。パスワードの漏洩だけでなく、プラグイン等の脆弱を狙った攻撃です。

公開されている脆弱性

WPセキュリティーが公開しているプラグイン脆弱性だけで、1か月あたり300~400のリスクが発生しています。

攻撃されマルウェア感染

ブラウザのセキュリティー機能、セキュリティーソフトで閲覧がブロックされます。(検出できずブロックされないケースもあります)

左はブラウザでのブロック、右はセキュリティーソフトによるブロックで、ユーザーにより異なる。この状態を放置すると検索エンジンからも削除される。復旧したとしても1か月を超えるとランキングが大きく低下し、数か月~は回復が困難。

信頼性を損ない、その間の業務への影響が大きい。また最悪の場合は、ユーザーの個人情報が流出します。

さまざまな影響

  • サイト内容が改ざんされる。
  • ウイルス(マルウェア等)が仕掛けられ、ユーザー(閲覧者)に影響を与える。
  • メールフォーム等で情報を保存している場合は、ユーザー情報の漏洩。
  • マルウェア拡散の踏み台に使われる(管理者は気づきにくい)
  • サイト名を装ったなり「すまし送信=ユーザーに金銭的被害を与えるリスク」

WPに限らずマルウェアの感染は、管理者がスグに気づかず被害が顕在化した時点で手遅れです。

復旧できるのか?

復旧は非常に困難!復旧させるにはサーバーからデータをダウンロードし、感染したファイルを特定して削除する必要があります。しかしダウンロードし場合に、パソコンが感染するリスクがあるため行うことはしません。

バックアップデーターがある場合は、サーバーのデーターをすべて削除し、バックアップデーターを使う必要があります。バックアップがない場合は不可能で、最初からサイトを作り直す必要があります。

  1. バックアップがあっても直近データーがない場合は、完全復旧は困難。
  2. 復旧が可能な場合であっても数日の作業が必要。
  3. ゼロから作り直す場合は1か月~は必要。

※多くのサーバー会社は1週間~2週間程度はデーターの自動バックアップを行っており、そのデーターから復元可能な場合がありますが、データが感染している場合は不可能です。

対策(必須)

WordPressのセキュリティー維持には下記の対策が不可欠です。

(1)パスワードを複雑にする。

従来は英数+数字で8桁以上が推奨されていましたが、現在はより高度なパスワード生成が推奨されています。

(2)WPのアップデート

WP本体、プラグイン、テーマの3つのアップデートが必須です。またサーバー側のPHP、SQL、CGIプログラムも常に最新(推奨)バージョンにする必要があります。

アップデートを行わないと、HPの改ざんやウィルスを仕掛けられたりなどのリスクが大きくなります。また開発が終了したテーマの場合は、サーバー側の最新PHPバージョンに対応できなくなり、HPの表示や動作が不安定になります。また最新のPHPバージョンに対応できないため、セキュリティーリスクも大きくなります。

またプラグインについては、開発元が更新を終了した場合、最新のWPバージョンに適応できなくなった場合もあります。この場合もセキュリティーリスクが大きくなります。

感染する原因の多くはプラグインのアップデートを行わなかったことによるもの。HPの更新の有無に関わらず、少なくとも1か月に1回(1週間に1回を推奨)は管理画面にログインし、アップデートの有無を確認。

 ゼロデイ攻撃 

プラグインの脆弱性(セキュリティホール)が発見され、修正プログラムが提供される前に、攻撃者がその脆弱性を悪用して攻撃を行うもの。つまり毎日確認してもリスクがゼロになることはありません。

(3)サーバー管理(アカウント)の漏洩

サーバー管理に必要なアカウント情報が流出した場合は、HPだけでなくメールアカウントを含めすべての情報が悪用されます。漏洩した場合にHPやメールの再構築には、相応の期間と費用が発生します。サーバー会社を装ったフィッシングなどでハッキングされるケースが多い。厳重な管理が必要です。

(4)バックアップ(必須)

 重 要 

定期的にサーバーからダウンロードしパソコンにデータを保存。バックアップ用のプラグインとFTPでローカル側にダウンロードする。FTPの使用は基本的な知識が必要。

バックアップデーターがあれば、少なくともバックアップした日時までは復旧が可能。(それでも数日必要、管理者に復旧させるスキルがあり、自分で行ったとしてっも数時間~1日は必要)

(5)Cloudflareなどで「悪性Bot」を検知

「悪性Bot」とはシステムの脆弱性を見つけ、攻撃対象を探す悪意のあるプログラムで、自動化され世界中のWEBサイトを巡回。2025年時点で世界中のアクセスの50%を超え、人による通常のアクセスの2倍以上と激増レベルです。サイトの規模に関わらずリスクがあり、WPの場合は攻撃されるリスクが大きくなります。

Cloudflare(クラウドフレア)は、米国のIT企業でCDNサービスなどを世界で展開。また悪性Botを検出しブロックするサービス(基本機能は無料)を行っており、多くの企業で導入しています。このブロック機能を利用することで、悪性Botがサイトを巡回するリスクを減らせます。しかし100%は不可能で検出を抜ける高度な悪性Botも急増しています。