WordPressサイトのハッキング対策7選と復旧方法!事例や侵入される原因も解説

2021年10月8日WordPress

Right Caption
WordPressはハッキングされることもあるのでしょうか?
Left Caption
ハッキングされるリスクはありますが、セキュリティ対策をすることでかなり防げます。

WordPressは世界一利用されているCMSのため、脆弱性が見つかると狙われやすいのが難点です。しかし、様々な対策をしっかりと行えば、不正アクセスやハッキングを防ぐことは可能です。

そこで本記事では、WordPressのハッキング対策について、以下の点を紹介します。

Webサイトを安全に運営するためにも、ぜひ参考にしてください。

WordPressのハッキングによる3つの被害事例

WordPressのハッキングの被害事例は、主に以下の3つです。

  1. Webサイトの改ざん
  2. データの改ざん・漏洩・破壊
  3. 既存ファイルの削除、不正ファイルの追加

それぞれ説明していきます。

1. Webサイトの改ざん

1つ目の被害は、Webサイトを改ざんされ、所有者の意図しない内容に書き換えられることです。

たとえば、スパムサイトやマルウェアサイトへのリンクが埋め込まれたり、iframeで外部サイトを表示させられたりするのが、その一例です。また、悪意あるスクリプトを埋め込まれることで、Webサイトの訪問者が被害を受けることもあります。

2. データの改ざん・漏洩・破壊

2つ目は、データの改ざんや漏洩です。具体的には以下のような被害があります。

  • データベースの改ざん・破壊
  • ログインデータの漏洩
  • パスワードの漏洩

WordPressのテーマやプラグイン、記事のテキスト情報などは、サーバー内のデータベースに保管されています。そのデータを書き換えられることで、被害が発生します。

ログインデータやパスワードもデータベースに記録されているため、ハッキングによりアクセスされてしまうかもしれません。パスワードが漏洩すると、管理者権限も乗っ取られてしまいます

3. 既存ファイルの削除、不正ファイルの追加

データの改ざんだけでなく、ファイルそのものを削除されたり、勝手に追加されたりする被害もあります。

たとえば不正ファイルを追加されることで、不正なページを大量生成されることもあるのです。このようなハッキングをされる原因について、次の章で説明していきます。

WordPressがハッキングされる3つの原因

WordPressがハッキングされる原因は、主に3つあります。

  1. ユーザー名やパスワードを突破される
  2. ソフトウェアが最新ではない
  3. 脆弱性のあるテーマやプラグインを使っている

1つずつ見ていきましょう。

1. ユーザー名やパスワードを突破される

WordPressのログインにはユーザー名とパスワードの2つが必要です。そのため、何らかの手段でユーザー名とパスワードを突破されることが、1つ目の原因です。

Right Caption
なぜユーザー名やパスワードが分かるのでしょうか?
Left Caption
たとえば簡単なユーザー名やパスワードを設定していることが、要因の1つとして挙げられます。

以下は、簡単なユーザー名・パスワードの一例です。

  • 文字数が少ない
  • 数字だけ・アルファベットだけの単純な文字列
  • 個人情報から推測できる

個人が特定できている場合は、名前のローマ字表記や誕生日などで、パスワードが破られることもあります。

また、パスワードの総当たり攻撃(ブルートフォースアタック)で不正アクセスをされることもあります。総当たりとは、考えられる文字列の組み合わせをすべて試す手法です。

プログラムなどを利用して、このような総当たり攻撃を仕掛ける攻撃者もいます。

2. ソフトウェアが最新ではない

WordPressのソフトウェアが最新でないことも、ハッキングの原因となります。

WordPressは世界で一番利用されているCMS(コンテンツ管理システム)のため、脆弱性が見つかると狙われやすくなります。

脆弱性が見つかり次第、公式ソフトウェアはバージョンアップされているため、これを最新に保っていないと攻撃対象となる場合があり、注意が必要です。なお、WordPressはすべてのWebサイトの42.6%、CMSの65.2%のシェアを占めています。

引用元:Usage statistics of content management systems

3. 脆弱性のあるテーマやプラグインを使っている

WordPressのソフトウェアだけでなく、テーマやプラグインにも脆弱性が見つかる場合があります。特にプラグインは複数の種類をインストールしていることが多く、その中の1つにでも脆弱性があれば、攻撃されてしまいます。

これらの原因をふまえて、ハッキングを防ぐための対策を次の章でお伝えしますので、参考にしてください。

WordPressのハッキングを防ぐ7つの対策

WordPressのハッキングを未然に防ぐ対策としては、以下の7つが挙げられます。

  1. セキュリティ対策サービスを利用する
  2. 二段階認証を使用する
  3. 複雑なユーザー名にする
  4. ユーザー名の表示を変更する
  5. ログインページのURLを変更する
  6. WordPressを最新の状態を保つ
  7. テーマやプラグインは信頼できるものを使用する

順番に見ていきましょう。

1. セキュリティ対策サービスを利用する

WordPress単体で対策するだけでなく、サーバーやホスティング会社によるサービスを利用することが、ハッキングを防ぐには有効です。

Right Caption
たとえば、どんなセキュリティサービスがあるのでしょうか?
Left Caption
セキュリティの1つとして知られているのが、SSL証明書です。SSLは通信を暗号化する技術のことで、データの盗聴や改ざんを防げます。

また、弊社で提供している「SiteLock」も、セキュリティの効果が高いサービスです。

SiteLockはWordPressの脆弱性診断、改ざん監視、マルウェア検知・駆除などを行える、オールインワンのセキュリティサービスです。診断メニューが豊富にあり、この1つを入れておくだけで幅広い対策を行えます。

初心者にも簡単に操作できるため、セキュリティを万全にしたい方は、まずSiteLockを入れておくと安心できるでしょう。SSL診断にも対応しています。

2. 二段階認証を使用する

二段階認証とは、ユーザー名やパスワード以外にも、SMSなどで本人確認が必要となる認証方法です。万が一パスワードが流出しても、不正アクセスはされません。

たとえば弊社サービスの「Value-Auth」を利用すると、WordPressにも簡単に二段階認証を導入できます。メールやSMSによる二段階認証を、ご自身のWordPressサイトへのログインに組み込めます。

SMS10通・メール100通までは月額料金0円なので、Webサイトを不正ログインから守りたい方は、ぜひValue-Authをお試しください。

3. 複雑なユーザー名にする

WordPressのログインユーザー名を複雑なものにしておくのも、ハッキング対策としては基本です。

ユーザー名が分かると、パスワードに総当たり攻撃をかけられるためです。たとえば「administer」や「admin」のように、よく使われるユーザー名は避けましょう

4. ユーザー名の表示を変更する

ユーザー名は複雑にするだけでなく、表示名を変更することも重要です。なぜなら、自動生成される「投稿者アーカイブ」のページURLに、ユーザー名が表示され、誰でも見ることができるからです。

投稿者アーカイブのURLは、どのサイトも共通で「https://WebサイトのURL/?author=ID」となっています。

IDの箇所に数字(1.2.3......)を入れてアクセスすると、URL末尾にユーザー名が表示される仕組みです。

そのため、投稿者アーカイブに表示される名前を、実際のユーザー名ではなく任意の文字列へ変更しておきましょう。プラグイン「Edit Author Slug」をインストールすることで、簡単に設定を行えます。

5. ログインページのURLを変更する

WordPressのログインページのURLを変更するのも、効果的なハッキング対策です。

初期設定では以下のURLで、ログインページへアクセス可能となっています。

  • https://ドメイン/wp-login.php/
  • https://ドメイン/wp-admin.php/

Webサイトのドメインさえ分かれば、誰でもログインページを開ける状態です。そのため、ログインページのURL末尾を「wp-login.php」や「wp-admin.php」から、任意の文字列へ変更しましょう。

変更するとログインページ自体のアクセスを防げるため、万が一パスワードが漏洩しても不正ログインはされにくいです。ログインページのURL変更は、プラグイン「SiteGuard WP Plugin 」で設定が可能です。

6. WordPressを最新の状態を保つ

ハッキングされる原因でもお伝えした通り、WordPressは世界中で利用されているため、脆弱性が見つかるとすぐに狙われます。

脆弱性があった場合には、公式からもすぐに最新バージョンのリリースがあるため、常に最新バージョンへ更新しておきましょう。

更新方法や注意点は「WordPressに脆弱性が、早めのアップデートを」で詳しく解説していますので、あわせてご覧ください。

7. テーマやプラグインは信頼できるものを使用する

WordPressのテーマやプラグインは、WordPress公式のものだけでなく、一般の方が作ったものも数多く公開されています。

その中に脆弱性のあるテーマなどが存在する可能性もあるので、信頼できるものを選ぶことが重要です。

インストール前にはレビューを必ず確認し、インストール数の多いものや評価の高いものを利用しましょう。また、WordPressのソフトウェアと同様に、テーマやプラグインも常に最新の状態を保っておきます。

Right Caption
コアサーバーでもハッキングに対する対策はしていますか
Left Caption
はい、弊社が提供するコアサーバーでは、安心してご利用いただけるよう以下のような対策を施しています。

コアサーバーのハッキング対策

  • コアサーバーV1プラン:海外からの試行に対するIPブロックを実施
  • コアサーバーV2プラン:パスワードの入力間違いが一定数を超えたらIPブロックを実施

海外からの試行に対するIPブロックや一定回数以上の入力間違いでIPブロックすることで、不正なアクセスを防ぐことができます。コアサーバーでは、常に不正なアクセスに対するセキュリティ強化に努めています。大切なサイトを守るためにも是非コアサーバーをご利用ください。

WordPressをハッキングされた場合の対応と復旧方法

WordPressをハッキングされた場合に行うべき対応は、主に以下の5つです。

  • 不審なコードやデータを削除する
  • ローカル環境(PC)のウィルスチェックをする
  • Webサイトをスキャンする
  • パスワードやシークレットキーを変更する
  • バックアップをとる

以下で1つずつ説明していきます。

なお、WordPress公式サイトにも解説がありますので「FAQハッキングされた場合は」も参考にしてみてください。

1. 不審なコードやデータを削除する

ハッキングされた場合はまずWebサイト内を確認し、不審なコードやデータを削除します。記憶にないファイルやスクリプト、入れた覚えのないプラグインなどが不審なコードやデータに該当します。

また、チェックや復旧作業を楽にするために、使っていないテーマやプラグイン等も削除しておきましょう。

2. ローカル環境(PC)のウィルスチェックをする

不審なデータを削除したら、ローカル環境(PC・スマホなど)のウィルスやマルウェアのチェックを行います。

一般的なセキュリティソフトを使い、フルスキャンを行えば大丈夫です。万が一、ウィルスが検出された場合には、除去を実行します。

3. Webサイトをスキャンする

ローカル環境のチェックが終わったら、次にWebサイトのスキャンを行います。自分で行う場合は、ウィルスチェック用のプラグインを使うと手軽に行えます。

確実にチェックできているか心配な場合は、エンジニアなど専門家へ委託した方が安心かもしれません。

4. パスワードやシークレットキーを変更する

ウィルスチェックや修復を終えたら、パスワードを変更しましょう。ただし、万が一パスワードが漏洩している場合は、攻撃者がログイン状態になっている可能性もあります。

そのため、パスワード以外にシークレットキーも新しくするのがおすすめです。「wp-config.php」のファイル内の値を上書きすることで、シークレットキーを変更できます。

5. バックアップをとる

すべての対応が終わったら、Webサイトのデータのバックアップを取りましょう。サーバーに付随しているバックアップサービスを使うのが、一番手軽な方法です。

コアサーバーであればV2プランは無料で、V1プランは月額150円自動バックアップを行えます。まだご利用になってない方は、不測の事態に備えてぜひお申し込みください。

まとめ

WordPressのハッキングによる被害は、サイトの改ざんだけでなく、データやパスワードが漏洩する恐れもあります。

しかし、セキュリティサービスを利用することで、リスクを大幅に軽減できます。

弊社のSSL証明書SiteLockを導入すると、脆弱性診断やウィルスチェックもオールインワンで実行でき、安心です。さらにValue-Authで二段階認証を設定すると、セキュリティはより強固になるでしょう。

WordPressのハッキング対策を万全にしたい方は、ぜひSiteLockやValue-Authをご利用ください。

¥0から使える、本人認証サービス Value Auth

Posted by admin-dev


service

Value Domain
ドメイン取得&レンタルサーバーなら
Value Domain
ドメイン登録実績600万件を誇るドメイン取得・管理サービスと、高速・高機能・高品質なレンタルサーバーや、SSL証明書などを提供するドメイン・ホスティング総合サービスです。
目次へ目次へ