いえとみ まさゆき 
みなさんはWordPressのセキュリティ対策を行わないことによるリスクを考えたことがありますか?
本日は私のお客様からいただいた実際の被害事例を含めリスクについて解説していきます。
実際にお客様から相談を受けた被害事例
下記の被害事例はここ最近、お客様から実際に相談を受けた被害事例です。
- サイト内にバックドア(不正アクセス用の入口)を無数に設置されてしまい、さらにフィッシングメールの一斉送信システムをサーバーに配置され、不正行為の踏み台として利用される
- 導入した覚えのない「謎のプラグイン」が自動で導入され、Googleの検索結果からサイトに入った場合にだけ、ユーザーが他のフィッシングサイトなどへ自動でリダイレクトされてしまう仕組みを導入される(ブックマークや、直接のアクセスではリダイレクトされないため気付きにくい)
- ランダムに投稿データの末尾にJavaScriptを埋め込まれ、その記事を閲覧したユーザーが他のフィッシングサイトに自動でリダイレクトされてしまう
上記のようにサイトのファイルやデータを任意に改ざんされてしまうため、1度不正アクセスが発生すると、除染が困難になります。
ちなみに上記の被害を受けてしまったサイトの修復作業に関しては、かなりの費用と期間をいただいた上で、除染対応をさせて頂きました。
被害の元凶は不正アクセス
上記のようにWordPressのセキュリティ リスクを意識せずに被害に遭われてしまったサイトは全て不正アクセスによるものが原因です。
不正アクセスを考えるような人間は、基本的に手動で行っているわけではありません。
不正アクセスを行うための専用の自動化ツールを使って、世界中のウェブサイトから侵入できそうなWordPressを探しています。
そして、ログイン画面から管理者IDとパスワードの組み合わせを、用意しているリストやランダムな英数字で何度も実行し、ログイン出来そうな組み合わせを自動で探し出そうとするのです。
WordPressサイトのリスク
WordPressを利用していると、ウェブサイトのソースコードに、WordPressを臭わせるような文字列が必ず出力されてしまいます。
そのソースコードに出力される特定の文字列から、簡単に「このサイトはWordPressで動いているな」というのが誰にでもわかってしまいます。
WordPressを使っているということが分かれば、ログイン画面のURLもほぼ推測で分かってしまうため、ログイン画面に簡単にアクセスできてしまうのです。
そこで必要なのがWordPressのセキュリティ対策
これまでWordPressのセキュリティを怠ったが故に起こり得るリスクについて説明してきました。被害を防ぐには不正アクセスを防ぐこと、すなわちセキュリティ対策を行う必要があります。
WordPressのセキュリティ対策について、現在有効な物をいくつか紹介すると
- 管理者パスワードの強化
- 管理者ログイン時に画像認証を付ける
- 管理者ログインの試行回数に制限を設ける
- 管理画面にBasic認証を設定
- 管理画面へアクセス可能なIPアドレスを制限
- ログインURLの変更
- 管理画面上からのテーマファイル/プラグインファイルの編集機能を制限
などが挙げられます。
上記で挙げたセキュリティ対策のリストを見ていただくと、その内容の殆どが「管理者」としてのログインに何らかの制限や制御を設けたり、管理画面から行える内容に制限を設けるものです。
WordPressは管理画面からファイル編集やプラグインの導入など、サイトの運営に係わる内容が殆ど実施できるよう、管理者に権限が与えられています。
そのため、管理者として不正アクセスされてしまった=サイトが乗っ取られたと言っても過言ではありません。
本ブログでは、自分でできるセキュリティ対策の具体的な方法を以下のような記事にしておりますので、併せて参考にしていただければ幸いです。