WordPressが改ざん被害に遭う要因

Pocket
LINEで送る

WordPressは無料で利用出来る便利なツールです。

全ウェブサイトの30%超に用いられているのですが、有名なツールだけに、セキュリティーの穴を狙う人たちにも研究されています。

中でもwebサイトの改ざんは、サイト運営者としては避けたいもの。

WordPressを使ったサイトがどのように改ざん被害に遭うのか、要因を整理してみました。

サーバー自体に侵入される

WordPressを設置しているサーバー自体に侵入され、改ざん用のプログラムを設置されるケース。

サーバーのIDパスワードの管理が杜撰で、直接侵入されるのは論外として、サーバーの脆弱性、プログラムの穴をくぐって、WordPress自体には直接アクセスせずに、改ざん用のプログラムを設置することも出来ます。

サーバー会社のセキュリティー対策情報をしっかり読んで、サーバー選定をするようにしましょう。

WordPress自体の脆弱性

WordPressは時々、プログラムの脆弱性が報告され、その度に修正されたバージョンが公開されます。

最近のバージョンでは、自動更新機能が搭載されているので、コアとなるWordPress自体は自動でアップデートされていますが、古いバージョンのまま利用するのは、脆弱性を放置していることになるので危険です。

また、関連するプラグインにも脆弱性は発生するので、各プラグインのアップデートは怠らないようにしましょう。

ログイン画面への攻撃

一番多いのが、なんとかしてログインしようとする攻撃です。

IDパスワード自体が流出していたら、元も子もないのですが、初期設定のWordPressの場合、ログインURLも推測可能ですし、管理者や投稿者のIDが丸見えになっています。

なので、推測されやすいパスワードを使っていた場合は、あっさりと改ざんされてしまいます。

自動的にパスワードを推測して入力するようなツールもあるので、連続入力に対する対策がされていないと、ログインされてしまいます。

他には、サイト自体がSSL化されてない場合。
SSL化されたサイトよりも入力フォームで送信するデータを盗みやすいため、比較的簡単にIDとパスワードが漏れることになります。

ログインされてしまえば、パスワードの変更、新しい投稿、今までの投稿の削除など、好き勝手に改変が可能です。

まとめ

WordPressを使ったサイトには、大きく分けて3つのセキュリティーリスクがあります。

特にログインに関しては、複雑でセキュリティーを高めると、ログインが面倒になってしまう、ということもありますが、最低限の対策は取っておきましょう。

Pocket
LINEで送る

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です