MENU

WordPressが改ざん被害に遭う要因

2018 11/19

WordPressは無料で利用出来る便利なツールです。

全ウェブサイトの30%超に用いられているのですが、有名なツールだけに、セキュリティーの穴を狙う人たちにも研究されています。

中でもwebサイトの改ざんは、サイト運営者としては避けたいもの。

WordPressを使ったサイトがどのように改ざん被害に遭うのか、要因を整理してみました。

サーバー自体に侵入される

WordPressを設置しているサーバー自体に侵入され、改ざん用のプログラムを設置されるケース。

サーバーのIDパスワードの管理が杜撰で、直接侵入されるのは論外として、サーバーの脆弱性、プログラムの穴をくぐって、WordPress自体には直接アクセスせずに、改ざん用のプログラムを設置することも出来ます。

サーバー会社のセキュリティー対策情報をしっかり読んで、サーバー選定をするようにしましょう。

WordPress自体の脆弱性

WordPressは時々、プログラムの脆弱性が報告され、その度に修正されたバージョンが公開されます。

最近のバージョンでは、自動更新機能が搭載されているので、コアとなるWordPress自体は自動でアップデートされていますが、古いバージョンのまま利用するのは、脆弱性を放置していることになるので危険です。

また、関連するプラグインにも脆弱性は発生するので、各プラグインのアップデートは怠らないようにしましょう。

ログイン画面への攻撃

一番多いのが、なんとかしてログインしようとする攻撃です。

IDパスワード自体が流出していたら、元も子もないのですが、初期設定のWordPressの場合、ログインURLも推測可能ですし、管理者や投稿者のIDが丸見えになっています。

なので、推測されやすいパスワードを使っていた場合は、あっさりと改ざんされてしまいます。

自動的にパスワードを推測して入力するようなツールもあるので、連続入力に対する対策がされていないと、ログインされてしまいます。

他には、サイト自体がSSL化されてない場合。
SSL化されたサイトよりも入力フォームで送信するデータを盗みやすいため、比較的簡単にIDとパスワードが漏れることになります。

ログインされてしまえば、パスワードの変更、新しい投稿、今までの投稿の削除など、好き勝手に改変が可能です。

まとめ

WordPressを使ったサイトには、大きく分けて3つのセキュリティーリスクがあります。

特にログインに関しては、複雑でセキュリティーを高めると、ログインが面倒になってしまう、ということもありますが、最低限の対策は取っておきましょう。

この記事を書いた人

2001年からウェブ業界に携わり、2002年に独立。2006年法人化。
ウェブデザインやコーディング、CMSなどの制作業務から、ウェブ解析、ウェブサイト構築・運用のコンサルテーション、広告運用代行など、ウェブに関する多様な要望に幅広く対応。
また、制作や集客だけではなく、運用・保守など全ての業務を俯瞰した視点での改善提案やアドバイザリーを行っています。

CSS NiteやWordCamp、BAU-YAなどのセミナーやイベントにも、多数登壇。企業研修やマンツーマンレッスン、ブログやSNS、YouTubeでの情報発信など、「ウェブを育てる」知識の教育活動にも意欲的に参加しています。

コメント

コメントする

CAPTCHA