この記事の目次
WordPressはハッカーに狙われやすいソフトです。無料でソースが公開されており、多くの人が使用していて情報が多いためです。
プログラムに対する情報が豊富であると、トラブル対策が見つかりやすいなどユーザーにとってメリットになります。しかしハッカーにとっても情報が多く、攻撃の隙を見つけられやすいというデメリットにもなってしまうのです。
実際にWordpressは、バージョン5.7.1以前のものにセキュリティホールがあると米国から指摘を受けたり、特定のプラグインにおける脆弱性の高さについてアナウンスが入るなどということがたびたび起こっています。それだけではなく、Wordpressを利用していてホームページを改ざんされたなど、被害が出てしまった事例も少なくありません。
ハッカーが不正にWebサイトにアクセスを行ったり、攻撃したりすることなどをハッキングと言います。正しくはこのような不正行為をクラッキングと言い、ハッキングは優れた技術者が解析や改変等を行うことを指しますが、一般的にはハッキングという呼び方の方がよく知られています。
ハッキングが行われるとサイトの管理者にはさまざまな被害が出ますが、主だったものは以下の3つです。
いずれにしろ管理者側にとっていいことはないため、未然に防ぐことが重要です。
Webサイトの改ざんは、不正アクセスされることによって行われます。不正アクセスとは管理者でない人間がユーザー名やパスワードを突き止め、管理画面にログインしてしまうことです。これによりハッカーは管理者と同じ権限を持ってしまうため、Webサイトを乗っ取り自由に作り変えることができてしまいます。
単にデータを消去するなどということも可能ですが、閲覧者を別のサイトに誘導するような事件も起きています。2013年にトヨタのホームページで起こった事例ではハッカーがページを改ざんし、閲覧者を悪意あるサイトに誘導するようなページに作り変えました。結果として誘導に騙されたユーザーは、強制的に不正プログラムをインストールさせられてしまいました。通常のWebサイトが、閲覧者にとって害のあるサイトに変えられてしまったのです。
サイトを改ざんされるとサイトが使い物にならなくなるだけでなく、上記の事例のように被害者を増やすツールにされてしまうことがあります。
データの抜き取りもWebサイトの改ざんと同様、不正アクセスされることにより行われます。管理者でない人間がユーザー名やパスワードを突き止め、不正アクセスして管理画面にログインしてしまうと、会員制のページなどクローズドであるはずの部分を見られたり、ユーザーとのメールのやり取りのような個人情報を閲覧されてしまいます。
Webサイトによっては、銀行の口座やクレジットカードの番号などを扱う場合があるかもしれません。アメリカで起きた代表的なトラブルとして、小売りチェーンのWebサイトにハッカーが侵入し、1億人にのぼる顧客のクレジットカード情報が盗まれてしまったという事件もあります。
悪意ある第三者の行いで、Webサイトの管理者が意図せずスパムメールの送信者になってしまうこともあります。ハッキングされるわけではなく、問い合わせフォームの利便性を逆手に取った行為です。
問い合わせフォームは設定によって、問い合わせしたユーザーに「あなたはこのような問い合わせを行いました」と通知してくれるメールが送信されます。この機能を利用し、他人のメールアドレスで問い合わせフォームを使用すると、アドレスを利用されてしまった人の元には覚えのない通知メールが届くのです。自分のWebサイトに連絡用のアドレスを載せている人は珍しくないため、他人のアドレスを知るのは意外に簡単です。
実際にあった事例として、管理者が気づかない間にスパムメールの発信者にされてしまったという事件もあります。大量のメールのやり取りが発生してサーバーに負荷がかかり、レンタルサーバーから警告メールが送信され、管理者はそこではじめて自分のサイトが攻撃されていることに気づきました。この事件の場合はハッキングも同時に行われており、サイトのプログラムが至る所で改ざんされてしまっていたため、結果としてデータベースを1から作成し直さなければなりませんでした。
個人でもできるセキュリティ対策はさまざまです。基本的な方法を以下に記載します。
【基本となるセキュリティ対策】
上記の方法は比較的手間がかからず、Webサイト管理の初心者でもあまり悩まずに施せます。
WordPressにログインする際にはユーザー名とパスワードを要求されますが、この2つを長く複雑なものにすることで基本のセキュリティ対策になります。短いもの、文字が1種類しか使用されていないなどの簡単なもの、誕生日などの推測しやすいものはハッカーにとっても突き止めるのが簡単であるため、不正アクセスのリスクが高まるためです。
可能であれば英数字など複数種の文字が混じったランダムな文字列が望ましいですが、突き止められにくい反面管理者も覚えにくいというデメリットがあります。メモなどに残してしまうとかえって不正アクセスされやすくなってしまうため、自分が暗記できるような文字列を前提にユーザー名とパスワードを設定しましょう。
使用機能を常に最新のバージョンにアップデートしておくことも、有効なセキュリティ対策です。Wordpressそのものや各種プラグインはたびたびバージョンアップを行いますが、その理由のひとつにセキュリティを強化するという目的があります。
WordPressのバージョンアップにはメジャーバージョンアップとマイナーバージョンアップの2つがあります。それぞれの違いは以下の通りです。
【Wordpressのバージョンアップの種類と特徴】
| メジャーバージョンアップ | マイナーバージョンアップ | |
| 現在のバージョンを示す数字
(バージョンアップすると〇の部分の数字が変化する) |
WordPress ○.○.x | WordPress x.x.○ |
| バージョンアップの目的 | 機能の改善や拡張が行われる | セキュリティの向上やバグの修正が行われる |
| 頻度 | 数か月に1度程度 | 必要に応じて
(メジャーバージョンアップよりも頻度が高い) |
主にセキュリティの向上が目的とされているのはマイナーバージョンアップですが、だからといってメジャーバージョンアップを行わなくても良いというわけではありません。メジャーバージョンアップを行わないでいた場合、バージョンがどんどん古くなっていってしまい、やがてWordpress側がサポートを行わなくなります。
どのようなプログラムであっても時間をかければ、いずれはハッカーにセキュリティを破られてしまいます。そうならないために、手間に感じたとしても後回しにせず、常に最新のバージョンにすることを心がけましょう。
また、Wordpressにはバージョン5.6以降、自動バージョンアップ機能がつきました。管理者が何もしなくとも自動でバージョンを更新してくれるメリットがありますが、一方で予期しないタイミングにアップデートが始まってしまうなどのデメリットもあります。そのため意図的に機能をオフにしている人も少なくありませんが、その場合は自分できちんとバージョンアップを行いましょう。
不要になったプラグインの早期削除はセキュリティ対策として有効です。プラグインもWordpressと同様、定期的にバージョンアップを行いますが、常に最新の状態にしておかなければハッカーの攻撃の的となってしまいます。
しかし必要なプラグインはともかく、不要なプラグインのアップデートをこまめに覚えていられる人は多くありません。忘れてしまう前に削除(アンインストール)してしまいましょう。
なお、Wordpressにはインストールの時点で自動で導入されるプラグインもいくつかあります。
【Wordpressに初期実装されているプラグイン】
| プラグインの種類 | プラグインの機能 |
| Akismet Anti-Spama | スパムメールを防ぐ |
| Hello Dolly | 管理画面右上に、歌詞がランダムで表示される |
| TypeSquare Webfonts for エックスサーバー | エックスサーバーを使用している場合、専用のフォントが使用できる |
| WP Multibyte Patch | 文字化けを防ぐ |
どのプラグインが必要なのかは人によって違うため、Webサイトの目的と照らし合わせて、使用しないプラグインは削除した方が良いでしょう。
Webサイトの管理者が施せるセキュリティ対策には、少々手間のかかる方法もあります。しかし行うことでより強固なセキュリティにできるため、可能であればやっておくのがおすすめです。
代表的な方法は以下になります。
【より高度なセキュリティ対策】
WordPressのプラグインの中にはセキュリティを強化してくれるものがあるため、導入するとハッカーの攻撃を受けにくくなります。
代表的な物を以下にまとめました。
【Wordpressにおけるセキュリティ強化のプラグイン】
| プラグインの種類 | 導入効果 |
| SiteGuard WP Plugin |
|
| Wordfence Security |
|
| All In One WP Security & Firewall |
|
上記の他にもさまざまなプラグインがあります。それぞれにメリットがありますが、プラグインを増やしすぎると管理の手間がかかります。するとアップデートがおろそかになってしまうなど、かえってセキュリティレベルを下げてしまう場合もあるため、自分に必要なものを選びましょう。
また、プラグインを新たに導入しても構いませんが、最初から備わっているものもあります。2022年の時点ではAkismet Anti-Spama(アンチスパム)がそのひとつであり、これはある程度スパムメールを防いでくれるプラグインです。今後のバージョンアップによって、同種の他のプラグインが追加される可能性もあります。
Webサイトの設定を見直すこともセキュリティの強化に繋がります。問い合わせフォームを導入している場合、設定を見直すことでスパムメールなどを防げます。会員制サイトのような特定の人向けであるサイトの場合、Wordpressの設定やサーバーの設定を見直してアクセス制限をかけるということも可能です。
ただし、自分でよくわからないままサイトの設定を変更してしまうのは、おすすめしません。Webサイトの内容に正当な興味を持って閲覧しに来た、優良なユーザーをサイトから弾いてしまったり、必要なメールを受け取れなくなってしまうなど意図しないデメリットが発生することがあるためです。自分ではよくわからないと判断した場合、設定を無理に変更するのは止めましょう。
レンタルサーバーは独自のセキュリティ機能を持っていることがあり、使用するとWebサイトのセキュリティを強化できます。すべてのサーバーが備えているわけではありませんが、可能であれば利用した方が良いでしょう。運用しているのはサーバー側であるため、自分で行うことがほとんど無い点はメリットです。
ただし、サーバーによってはオプション扱いになっており追加料金がかかる場合があります。また、機能がついていても自動で有効化されているとは限らないため、自分の目での確認が必要です。
予防ではありませんが、バックアップを取ることで万が一Webサイトが攻撃を受けてしまった場合でもスムーズなリカバリーが可能になります。
バックアップとは簡単に言うと現在運用しているWebサイトのデータをコピーし、別の保管場所に保存しておくことです。Webサイトが改ざんされてデータが壊れたとしても、バックアップがあればそこから比較的短い手間でサイトを整えることができます。
レンタルサーバーを使用している場合、サーバーによってはバックアップ機能が備えられている場合があります。追加料金がかかるケースもありますが、サイトのページ数が多かったり、自分でサイトを整え直す自信が無い場合は利用するのがおすすめです。
なお、バックアップは定期的に取り直しましょう。Webサイトは一般的に更新されていくものであるため、それに伴ってバックアップも新しくしておかなければ古いデータしか残らない状況になってしまいます。ある程度の復元はできるものの、結局手間がかかってしまう可能性もあります。
本記事で紹介したセキュリティ対策を施しても、100%攻撃を防げるという保証はありません。そのため被害にあったとき、どのような行動を取るべきか知っておくことも重要です。
一般的に取るべき行動は以下の通りです。
【Webサイトが攻撃を受けたときの対処】
まずはデバイスをオフラインにしましょう。オンラインの状態であるということは、ハッカーやウィルスとネットワークを介して繋がっている状態です。オフラインにすることで外部からの攻撃を一時停止することができる他、ウィルスの場合自分を介して他所の人へ被害が広がるのを防げます。
コンピュータウィルスに感染している場合は、ウィルスチェックを行って駆除しましょう。デバイスにウィルスチェックのソフトが入っている場合は実行して構いません。入っていなければ、一時的にオンラインに戻してインストールの作業が必要です。
一般的なウィルスチェックソフトは、併せてウィルスの隔離・削除も行ってくれるため、チェック後はそのままウィルスの処理を行います。全て終わったら再起動しましょう。
不正アクセスやコンピュータウィルスに侵入された場合は、ユーザー名やパスワードを変更しましょう。変更しないまま放置していると、再度同様の被害に遭う可能性があります。また、できるだけ変更前と似たような文字列ではなく、より長く複雑な文字列に変えて再度の被害を防止しましょう。
ウィルスの処理やパスワードの変更などがすべて終わったら、改ざんされたサイトを復旧しましょう。バックアップがあれば、そのデータを元にサイトを作り直すことができます。
バックアップを取っていない場合は、すべて自力で復旧することになります。ページ数などによってはかなりの手間がかかるため、保険のためにもバックアップを取っておくのがおすすめです。
Web業界10年以上の知見を持って、無料にてご相談へ対応いたします。
情報収集目的でも歓迎です。お気軽にご連絡ください。
LIGブログに掲載されました
