SPIRALマネージドクラウドの記事
ARTICLEWordPressのハッキング被害例|対処法や事前対策も解説
WordPressは世界中で利用者が多く、ハッキングの被害にあいやすいCMSの一つです。ハッキングにあうと、読者へも被害を及ぼす危険性があるため事前対策を行っておくべきです。そこで本記事では、ハッキングの被害例や対策について解説します。
目次
WordPressに対するハッキングの被害例
WordPressがハッキングされると、下記のような被害を受ける可能性があります。
- スパムメール送信に自社サイトが使われる
- 悪質サイトへのリダイレクト
- ウイルスの埋め込み
- サイトページへのいたずら
- 検索順位の低下
順番に解説していきます。
スパムメール送信に自社サイトが使われる
ハッキングされると、サーバーのメール配信用プログラムやお問い合わせフォームを悪用され、大量のスパムメールを送信される可能性があります。
スパムメールを受信した人は、サイトへ不信感を抱いたり、ひいては会社のイメージダウンに繋がるかもしれません。
また、大量のスパムメール送信によって『ブラックリスト』に登録されることがあります。
そうなると相手に送ったメールは全て迷惑メールに振り分けられ、相手に届かなくなる可能性もあります。
悪質サイトへのリダイレクト
悪質サイトへのリダイレクトも、ハッキングによる被害例の一つです。
悪質サイトではクレジットカード情報などの個人情報が盗まれる、フィッシング詐欺にあう危険性があります。
また、読者がフィッシング詐欺にあうと、結果的に会社への信頼も低下する恐れがあります。
ハッキングを隠蔽するため、毎回リダイレクトしないように設定するなど手口も巧妙化しているので注意が必要です。
ウイルスの埋め込み
ハッキングによって、読者へも感染が広がるウイルスを埋め込まれる可能性があります。
一口にウイルスと言っても、個人情報を盗んだりファイルを破壊したり様々なウイルスが存在します。
セキュリティ対策を怠ると、読者へも危害を加えてしまうリスクがあるのです。
サイトページへのいたずら
サイトページへ不要な画像やテキスト、広告を入れられる被害例もあります。
サイトの表示速度が急に遅くなったり、ページを開けなくなった場合は注意が必要です。
検索順位の低下
ハッキングによってサイトに上記のような被害が及ぶと、読者への影響を防ぐためGoogleのブラックリストに登録されてしまう可能性があります。
ブラックリストに登録されると検索順位から削除されるため、SEO対策を行っているサイトからすると死活問題です。
サイトの安全状況が気になる方は、GoogleセーフブラウジングでURLを入力して確認して下さい。
WordPressに対するハッキングの発生原因
WordPressに対するハッキングの発生原因は下記3つが挙げられます。
- ソフトウェアのバージョンが古い
- パスワードが推測されやすい
- セキュリティ対策をしていない
それぞれ解説していきます。
ソフトウェアのバージョンが古い
ソフトウェアとは、WordPress本体やテーマ、プラグインのことを指します。
各ソフトウェアがアップデートを行う理由の一つとして、『脆弱性の修正』が挙げられます。
もう少し具体的に言うと、利用者が同じ手法でサイバー攻撃にあわないようアップデートを続けているのです。
つまり、アップデートせず古いバージョンのまま放置することは危険と言えます。
パスワードが推測されやすい
当然ながら、WordPress管理画面へのログインパスワードが推測されやすいとハッキングされやすくなります。
例えば、数字の羅列や会社の設立年月日など誰もが予想できるパスワードは避けるべきです。
大文字や小文字、数字や記号を混ぜて難解なパスワードを設定しておくのが望ましいでしょう。
セキュリティ対策をしていない
セキュリティ対策とは、プラグインの導入や常時SSL化、ソフトウェアのアップデートなどが挙げられます。
ハッカーは常にセキュリティの穴を探し続けています。
できる限りのセキュリティ対策を行い、安心のサイト運営を心がけましょう。
WordPressに対するハッキングの手法
WordPressに対する主なハッキングの手法を下記にて解説していきます。
ブルートフォースアタック(総当たり攻撃)
例えば「abcd1000」「abcd1001」…といったように自動プログラムなどを用いてパスワードの総当たり攻撃を仕掛ける手法です。
サービス拒否(DoS)攻撃
サイトやサーバーに対して大量のアクセスや重いデータなどを送信し、機能を停止させる手法です。
クロスサイトスクリプティング(XSS)
掲示板やコメント欄などの入力欄から悪質なスクリプトを送り込み、個人情報を盗んだり別サイトへリダイレクトさせる手法です。
インジェクション
入力欄から悪質な言語を送り込み、データベースを不正操作する手法です。
これらの手法でハッキングを仕掛けられた場合、サイトやサーバーには様々な異変があります。
具体的にどのような異変が起きるのかは、次章をご覧下さい。
WordPressがハッキングされた?知っておくべき確認事項
WordPressが本当にハッキングされたか調査する上で、確認すべき事項は下記5つです。
- サイト内に不自然なリンクが増えていないか
- サイトは正常に表示できるか
- Googleやサーバー会社から通知メールがきていないか
- サイトへの検索流入が急減していないか
- WordPress管理画面へログインできるか
順番に解説していきます。
サイト内に不自然なリンクが増えていないか
まずはサイト内に不自然なリンクが増えていないか確認しましょう。
見覚えのないリンクや広告がヘッダーやフッダー、サイドバーなどにある場合は要注意です。
仮にあった場合は、クリックしないようにしましょう。
クリックすると個人情報漏えいやウイルス感染などの被害にあう可能性がありますよ。
サイトは正常に表示できるか
サイトがいつも通り正常に表示できるか確認することも重要です。
突然サイトの表示速度が遅くなったり、画面が真っ白になるなど正常に表示できなくなった場合は要注意です。
ただし、サイトが正常に表示できなくなった場合は、一度契約中のサーバーのホームページを確認しましょう。
サーバーに何らかの障害が起きたことで、正常に表示されていない可能性もあります。
Googleやサーバー会社から通知メールがきていないか
上記のような異変を感じたら、メールボックスを確認してみましょう。
ハッキングされ、スパムメールの大量送付などあなたのサイトが悪用された場合、Googleやサーバー会社から通知メールを受けることがあります。
通知メールが届いた時点で、既にGoogleでは検索結果に警告文が表示されたり、サーバー会社ではアクセス制限が行われています。
サイトへの検索流入が急減していないか
Googleアナリティクスなどの分析用ツールでサイトへの検索流入が急減していないかも確認しましょう。
検索結果に警告文が表示されたり、アクセス制限が入ると当然ながらサイトへの検索流入が急減します。
改善しないまま放置すると、サイトへ不信感を持つ読者が増えてしまうため、早急に対応しましょう。
WordPress管理画面へログインできるか
これまで通りのログインID・パスワードを入力したのに管理画面へログインできない場合は、ハッキングされている可能性が高いでしょう。
ログインできない理由は、ハッカーがパスワードを変更したり、あなたの管理者アカウントを削除しているからです。
管理者アカウントが削除されると、パスワードの再発行もできません。
WordPressがハッキングされた時の対処法
WordPressがハッキングされた時の対処法を解説していきます。
繰り返しですが、ハッキングの可能性がある場合、まずは上記5つを確認して下さい。
1.パソコン自体のウイルスチェック
ハッキングされた原因は、必ずしもWordPressの脆弱性にあるとは限りません。
パソコン自体に原因がある可能性も考えられるため、セキュリティソフトでフルスキャンを行いましょう。
2.バックアップを取る
パソコン自体に原因がないことを確認できたら、サイト全体のバックアップを行いましょう。
バックアップは、サーバー会社のサービスやプラグインを使うと便利です。
バックアップを行うことで、現在正常に機能しているファイルなどへウイルスが広がることを防げます。
3.サイト内部のソースコードを確認
次に、サイト内部のソースコードを確認して異常箇所を探しましょう。
見覚えのないスクリプトやファイルがないか慎重に確認して下さい。
手作業での確認が難しければ、プラグインや外部のセキュリティスキャンサービスを使用するのがおすすめです。
4.異常箇所を修正
異常箇所が見つかったら修正していきましょう。
異常箇所が非常に多い場合は、データベースからまとめて修正をかけて下さい。
外部のセキュリティスキャンサービスでは、対処の手順までナビゲートしてくれるものもありますよ。
5.見覚えのない管理者アカウントを削除
最後に、WordPressのユーザー画面に見覚えのない管理者アカウントがあれば削除しましょう。
見覚えのないアカウントはハッカーによって作成された可能性が高いです。
自社で対応できそうにない場合は、早急に専門サービスへ相談しましょう。
Googleへの再審査リクエストも忘れずに
Googleからハッキングの通知メールが届いた方は、修正完了次第Googleへ再審査リクエストを送りましょう。
リクエストを忘れると、検索結果に「このサイトは第三者によってハッキングされている可能性があります」という文言が表示され続けます。
特にSEO対策を行っているサイトであれば、早急に改善して検索流入を止めないようにしましょう。
WordPressに対するハッキングの事前対策
WordPressに対するハッキングの事前対策は下記6つです。
- セキュリティ対策プラグインを導入する
- ソフトウェアは常に最新状態を心がける
- パスワードやログイン方法などのセキュリティ強度を高める
- テーマやプラグインは信頼性の高いサイトから入手する
- 定期的にPCのウイルスチェックを行う
- 定期的にバックアップを取る
それぞれ解説していきます。
セキュリティ対策プラグインを導入する
プラグインを導入することで、ハッキング以外のセキュリティ対策も簡単にできます。
例えば、基本的なセキュリティ対策ができ日本語にも対応した『SiteGuard WP Plugin』や、常時セキュリティレベルをチェックできる機能のついた『Wordfence Security』がおすすめです。
ソフトウェアは常に最新状態を心がける
WordPressのテーマやプラグイン、本体は常に最新状態を心がけましょう。
常に最新状態にすることで、脆弱性の修正に加え、機能の改善や追加によって操作性が高まることもあります。
アップデートするとバグが起こる可能性があるため、事前にバックアップを取っておくと万が一の時も安心です。
パスワードやログイン方法などのセキュリティ強度を高める
パスワードは、WordPressのログインパスワードだけでなく、サーバー会社などサイトに関連する全てのパスワードの強度を高めましょう。
パスワードは大文字や小文字、数字や記号を混ぜて難解なパスワードを設定しておきましょう。
また、WordPressのログイン時に画像認証やシークレットキー認証を追加する『2段階認証』にしておくと安心です。
テーマやプラグインは信頼性の高いサイトから入手する
テーマやプラグインは、信頼性の高いサイトから入手しましょう。
信頼性の高いサイトとは、具体的にWordPressの公式サイトや、テーマやプラグインを開発した企業の公式サイトが挙げられます。
WordPressの公式サイトへは、WordPressの管理画面へログイン⇒【プラグイン】⇒【新規追加】をクリックすると進めます。
公式サイトではない正体不明のサイトから入手するのは、避けた方がいいかもしれません。
定期的にPCのウイルスチェックを行う
定期的なPCのウイルスチェックも、ハッキングの事前対策として有効です。
ウイルスチェックとは、コンピューターのストレージ(外部記憶装置)にウイルスが潜んでいないかチェックすることですが、ウイルスに限らず他のマルウェアも一緒にチェックすることが多いです。
PC自体に入ったウイルスがWorPressへも感染拡大する可能性があるので、定期的にウイルスチェックを行って安全な環境で使用しましょう。
定期的にバックアップを取る
定期的にバックアップを取っておくことはハッキングのみならず、様々なサイバー攻撃への事前対策になります。
仮にサイバー攻撃を受けても、被害を受けていないクリーンなバックアップデータがあれば復旧の時間を短縮できるでしょう。
また、単に操作エラーなどで大切なデータを消してしまった際にも役立ちます。
サーバー会社によっては、標準機能として自動バックアップ機能がついている場合も多いので、契約中のサーバー会社のホームページを確認して下さい。
WordPressは最もハッキングされやすいCMS
WordPressは、最もハッキング被害にあいやすいCMSだと言えます。
なぜならユーザーが非常に多く、オープンソースであるからです。
オープンソースであることは、インターネット初心者でも扱いやすいことに繋がります。
また、最近はSNSの発展で、インターネット初心者を見つけやすい環境になっています。
つまり、ハッカーはWordPressの脆弱性を一つでも見つけたら多くのサイトを同じ方法で攻撃でき、かつターゲットも選定しやすい環境なのです。
上記の通りWordPressは最もハッキングされやすいCMSという事実を理解し、しっかりセキュリティ対策を行いましょう。
手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド
当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。
Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。
ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアに簡単導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。
セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
まとめ
繰り返しですが、ハッキングを受けると自社サイトだけでなく、読者に被害が広がる可能性があります。
見方を変えると、あなたは被害者ではなく加害者になってしまう可能性があるのです。
簡単に行えるセキュリティ対策としては、プラグインの導入やソフトウェアの最新化が挙げられます。
安心安全のサイト運営を続けるためにも、セキュリティ対策を十分に行いましょう。
