WordPress改ざんの手口とは?被害と対策

security_2092

WordPressサイトの改ざんがおこなわれると、受信したデータを盗まれたり、ウイルスをばらまく装置にさせられたりという危険があります。

そのような被害を受けないためには、悪意あるハッカーの手口を知り、どのような原因で改ざんされるか、事例から学ぶことが重要です。そのうえで、対策や復旧方法を見ていきましょう。

1. WordPress改ざんの手口とは?

まず悪意あるハッカーは、どのような手口で改ざんをおこなうのでしょうか。大きく分けて2種類の手口について解説していきます。

不正ログイン

サイトの管理画面から不正にログインして、サイト構成のファイルの中に悪さするコードを混入させ、改ざんする手法です。最悪、パスワードを変更されてログインできなくさせられることもあります。

ログインの手法としては、ツールを使ってID・パスワードの組み合わせを推測する方法や、ウイルスでログイン情報を盗んで悪用するなどの方法が一般的です。

不正アクセスの対策!手口と事例を知って被害を防ぐ

2016.02.22

サイバー攻撃

サイトに深刻な脆弱性(セキュリティの問題)があると、不正ログインをせずとも、外部から悪さするコードを混入させて改ざんを可能にしてしまいます。たとえば、つぎのような手口が有名です。

SQL・HTMLインジェクション

サイト構築に使われるSQL、HTMLを不正な命令文に書き換え、サイトに意図しない動作をさせるサイバー攻撃の手法です。

SQL・HTMLインジェクションとは?2つの脆弱性による被害

2016.02.27

クロスサイトスクリプティング

サイトの問い合わせフォームなど動作する部分(動的コンテンツ)に、悪意あるHTML(スクリプト)を不正に挿入し、意図しない動作をさせる手法です。

クロスサイトスクリプティング(XSS)とは | 対策と被害事例

2016.03.16

2. WordPressが改ざんされる原因とは?

では、改ざんされてしまうWordPressサイトは、どのような原因から改ざんされてしまったのでしょうか。よくあるケースをご紹介します。

IDとパスワードに問題があった

WordPressは管理ページにログインすれば、誰でもサイトの中身をカンタンに操作できます。よって、第三者にログインされてしまうと、そのまま乗っ取られてしまいかねません。

文字列が単純だった

覚えられないからと、シンプルで短いものを設定している人は多いです。しかし、IDやパスワードがカンタンであるほど、ツールでもカンタンにそれらを推測されてしまいます。

他サイトで使い回していた

IDとパスワードを、いくつかのサイトで使い回している人も多いです。しかしその場合、他サイトでログイン情報が漏えいすると、使い回しているサイトすべてで不正ログインされるリスクが生じます。

ウイルス感染していた

知らぬ間にウイルス感染しており、そこからキーボードの入力情報(ログイン情報)が読み取られて、ログインされてしまった可能性もあります。

WordPressをアップデートしていない

WordPressをはじめとするアプリには、かならず脆弱性と呼ばれるセキュリティ上の欠陥が存在します。そのため脆弱性が発見されるたびに、それを修正した新バージョンが公開されます。

管理画面から「更新」を押すだけで最新バージョンにアップデートできますが、これを怠ると古いバージョンのまま、脆弱性が修正されない状態なので、サイバー攻撃を受けやすくなってしまいます。

プラグインをアップデートしていない

WordPressのプラグイン(拡張機能)にも脆弱性があります。これも古いバージョンをそのままにしておくと、脆弱性を狙った攻撃がおこなわれる可能性があるでしょう。

しかし、脆弱性が多数報告されているにも関わらず、プラグイン製作者が更新を怠って放置するケースもあります。そのようなプラグインを使用していると、非常に危険です。

3. 改ざんされた場合に考えられる被害は?

つづいて、WordPressのサイトが改ざんされた場合、どのような被害が想定されるのかを解説していきます。

ユーザーの送信情報が盗まれる

お問い合わせページなど、ユーザーが情報を入力する場所で「情報を外部送信する」ように改ざんされてしまえば、ユーザーの情報が盗まれる可能性があるでしょう。

このように改ざんされると、Googleの検索結果で「このサイトは第三者によってハッキングされている可能性があります」と表示されることがあります。

「このサイトは第三者によってハッキングされている可能性があります」原因と対処法を解説

2016.10.24

ウイルスをばら撒くように改変される

サイトにアクセスするだけで、ウイルス感染するようにも改ざんできてしまいます。このケースは大手企業の公式サイトでも実際に発生しており、大手サイト=絶対安全ではないことを世に広めました。

さらに厄介なのは悪意あるコードが設置されても、自分では気づきにくいことです。かつて改ざんされていたことに気づかず、年単位で放置して被害が拡大した企業も実際にあります。

4. WordPressの改ざんを防ぐ対策について

このような改ざんを防ぐために、効果があるセキュリティ対策をいくつかご紹介します。

バージョンを更新する

第2項で解説したように、WordPressは更新することで脆弱性が修正され、セキュリティ性が向上します。そのため、新しいバージョンが公開されたら、早めのアップデートがオススメです。

更新方法としては、WordPressにログインしてダッシュボードで「更新してください。」を押すだけです。それだけで自動的に更新されるので、カンタンにできます。

アクセス制限をかける

不正ログインを防ぐために、管理画面のログインページにアクセス制限をかける方法があります。

htaccessと呼ばれる設定ファイルを用いると、特定のホストからのアクセスのみ許可、もしくは拒否することができるので、海外からのサイバー攻撃を防ぐことが可能です。

改ざん検知

セキュリティ企業などが提供している「改ざん検知」サービスを利用すれば、改ざんされた場合にすぐ気づいて対処できるようになります。

サービスごとで仕様は異なりますが、改ざんが検知されると警告メールが送信される、改ざん前の状態に復旧できる、というような機能が一般的です。

5. 改ざんされた場合に復旧する方法は?

では、万が一改ざんされてしまった場合、どう対処すればよいのかを解説していきます。

バックアップから復旧する

定期的にバックアップを取得していれば、改ざんされる前のサイト情報に戻すことで元通りに修復できます。ただし、これは「いつ改ざんされたか」が判明しているときのみ有効な方法です。

これが判明していないと、復旧しても改ざんが解消されない可能性があります。また、再度改ざんされないように別途セキュリティ対策も必須です。

フォレンジック対応を実施する

サイバー攻撃が発生した際の事故対応を、フォレンジックと呼びます。これは、セキュリティ企業が「いつ、どの部分が改ざんされたか」調査し、該当部分を除去、サイト復旧などをおこなうサービスです。

とくにECサイト(通販サイト)など、クレジットカード情報といった重要な個人情報を保有するサイトの改ざんは、経過時間とともに被害は膨大になります。それをいち早く阻止するのにもっとも効果的です。

サイトを削除する

バックアップを取っていない、もしくは改ざん時期がまったく分からない、フォレンジック対応をするほどではない、などの場合はサイト自体を削除する方法もあります。

サイトのつくり直しは手間ですが、まだコンテンツの少ないサイトであれば、つくり直すという手段もよいかもしれません。

まとめ

WordPressは無料なので手軽に利用でき、カンタンに見栄えのよいサイトをつくれる便利なアプリケーションです。それゆえ世界中に利用者が多いので、悪意あるハッカーに狙われやすい面もあります。

さらにハッカーは、重要な情報があるサイトよりも、セキュリティの甘いサイトを無差別に攻撃することが多いです。自分は大丈夫と思わず、しっかりセキュリティ対策をすることが重要といえます。

また、利用者から「サイトにアクセスいたらウイルス感染した」と報告を受けたり、Google検索でハッキングの可能性が表示されたりしたら、すみやかに対応して被害を拡大させないよう注意してください。

【法人さま限定】いますぐサイバー攻撃を解決します!
セキュリティ事故調査、対策ご連絡ください。

「自社サイトがハッキングされたらしい!」「社内メールが送受信できない!」
そんなセキュリティトラブル、早急に調査・解決します!

サイバー攻撃の有無、被害状況がすぐに分かります。

【初期調査は無料!】

  • 最短即日の打ち合わせ、翌日から作業の実施可能
  • 調査、復旧作業はキャリア10年以上の専門エンジニア
  • どのような環境、状況の事故も柔軟に対応可能
  • 会見や弁護士の対応に関するサポートも可能
サイバー攻撃は時間の経過とともに被害が拡大します。
「なにかおかしい」と思ったら、すぐご相談ください!
security_2092