WordPressはその使いやすさと柔軟性で世界中で広く利用されていますが、その人気が高いがゆえにハッキングのリスクも高まっています。特に、管理者権限の乗っ取りやサイトの改ざんなど、ハッキングによる被害は甚大です。この記事では、WordPressのハッキング事例、原因、そして対策について詳しく解説します。
ワードプレスのハッキング・不正アクセス事例
WordPressサイトがハッキングされると、さまざまな被害が発生します。以下はその具体的な事例です。
近年はこれらの単独のトラブルだけではなく、ウイルスの埋め込みやサイトの改ざん、悪質なサイトへのリダイレクト、さらには悪質なサイトをへのリダイレクトを勝手にGoogleにインデックスさせてしまうなど、数時間から数日のうちに一気に被害が広がるようなハッキング事例が多くなっています。
ページが表示されないでエラーになる
WordPressのサイトがハッキングされた場合に一番重いのがページが表示されないでエラーになるということです。またログインページに入ることができなくてエラーに気づくことがあります。ハッキングされたりページが改ざんされることで起きるエラーとしては「403 Forbiddenエラー(アクセス制限)」「429error(大量のリクエスト処理が行われた場合)」「500 Internal Server Error(WordPressを構成しているファイルのパーミッションが変わってしまった場合)」などがあります。どちらも通常ワードプレスを利用している場合には起きない中で、ハッキングや不正なアクセスによりファイルの内容が修正されてしまったり、ファイルにアクセスする権限が変更されてしまったりすることによって起きます。
スパムメールの送信
ハッキングされたWordPressサイトがスパムメールの送信に利用されるケースがあります。これにより、サイトの信頼性が損なわれ、ブラックリストに登録されるリスクがあります。
悪質サイトへのリダイレクト
訪問者が悪質なサイトに誘導されることで、フィッシング詐欺などの被害に遭う可能性があります。厄介なのはGoogleに悪質なサイトへのリンクがインデックスされてしまうことです。
近年の傾向として、一度ハッキングされると悪質サイトへのリンクが一気に数十万件作成され、それが数時間から数日のうちにインデックスされ、元々インデックスされたページが消えてしまい、Googleに非常に不利な状態になる、ユーザーからの信頼もなくなるというのが問題です。
ウイルスの埋め込み
サイトにウイルスが埋め込まれ、訪問者のコンピューターに感染するリスクがあります。最近はみんなレンタルサーバーを利用していて自分のパソコン上でファイルを動かしているわけではないので直接パソコンにウイルスがかかるリスクは低いですが、その代わりにWordPressのファイルの奥深くにウイルスやマルウェアが設置されてしまい見つけることが困難になることもあります。
サイトの改ざん
サイトの内容が勝手に変更され、不適切な画像やテキストが表示されることがあります。サイトの改ざんについてはパッと見ただけではわからない場合もあります。具体的にはindex.phpやその他のphpファイルの中に、通常ではありえない数字や文字列の乱立、通常のワードプレスのファイル構成では無いはずのphpファイルが作成されているなどがあります。これらの改ざんについては、ホームページは一応表示されている場合もあり、がん細胞のように知らず知らずのうちに不正なファイルに侵されていき、ある日突然大量の不正ページがインデックスされていたり、WordPressのサイトがエラーで表示できなくなったりして気づくということもあります。
ハッキングの原因
WordPressサイトがハッキングされる原因は多岐にわたりますが、主なものは以下の通りです。
ソフトウェアのバージョンが古い
古いバージョンのWordPressやプラグインはセキュリティの脆弱性を抱えていることが多く、攻撃の対象になりやすいです。
推測されやすいパスワード
弱いパスワードはハッカーによって容易に突破される可能性があります。
セキュリティ対策の不備
適切なセキュリティ対策が行われていない場合、ハッキングのリスクが高まります。セキュリティ対策とは言っても、レンタルサーバーがあれ用意されているWAFや、WordPressのセキュリティ設定をオンにしておくなど初歩的なところで回避できることも多いです。
プラグインの使いすぎなどで脆弱性が生じアタックされる
ハッキングされやすいサイトの特徴として、例えばエレメンターなど、サイトのデザインや構成にプラグインで上書きするようなタイプのプラグインを複数に渡って使っている場合、そのようなサイトに対して特定の日にアタックを仕掛けられたということがあります。「エレメンターで作ってもらったサイトで1年間運営してきてまで大丈夫だったから」という人も、プラグインの更新を忘れていたり、他のプラグインと相性が悪かったりすると改ざんされることはよくあるので注意が必要です。
ハッキング対策
WordPressサイトを守るためには、以下のような対策が効果的です。
セキュリティプラグインの導入
日本で広く利用されているセキュリティプラグインには、「Akismet Anti-Spam」や「SiteGuard WP Plugin」があります。これらのプラグインは、スパムからの保護、不正アクセスのブロック、ファイルの監視など、多様な機能を提供します。プラグインを選び、WordPressダッシュボードからインストールし、アクティベートします。その後、ファイアウォールの強化、ログイン試行の制限、ファイル変更の監視などを設定します。
WordPressの更新管理
WordPress本体やプラグイン、テーマは常に最新の状態に保つことが重要です。WordPressダッシュボードを定期的にチェックし、利用可能なアップデートがある場合はすぐに実行します。可能であれば、自動更新を有効にします。
強固なパスワードの設定
パスワードは複雑で推測されにくいものを設定し、定期的に変更することが推奨されます。オンラインのパスワードジェネレータを利用して強固なパスワードを生成し、数ヶ月ごとに変更します。
バックアップの実施
「UpdraftPlus」「BackWPup」「All-in-One WP Migration」などのバックアッププラグインを選び、定期的なバックアップのスケジュールを設定します。バックアップデータは外部ストレージサービスに保存して、サイトとは別の場所に保管します。
またプラグインでバックアップを取っておけば概ね心配はないのですが復元する時に少し大変だったりするので、エックスサーバーなど自動的にバックアップを作成してくれているレンタルサーバーを借りておくことでボタン1つで2週間前の状態に戻したりできるのでおすすめです。ちなみにバックアップという観点から言うとブロガーに人気のコノハウイングはバックアップファイルだけはありますがそのファイルから自分で必要なファイルを選んであてがわなくてはいけないのでだいぶ大変です。
色々な面から考えてエックスサーバー系を利用しておくのがおすすめです、
ハッキング被害発生時の対応プロセス
万が一ハッキング被害に遭遇した場合の対応プロセスは以下の通りです。
緊急対応
サイトを一時的に閉鎖し、被害の拡大を防ぎます。ホスティングプロバイダに連絡し、サーバーのセキュリティ侵害の可能性を報告します。意図せずに不正なページが量産されるような状況で、ちゃんと信頼できるバックアップが取れているようであればサーバー内のファイルを全削除するということも検討します。
緊急時対応を誤ると、Googleに不正なサイトが数十万件インデックスされてしまいそのドメインが使い物にならなくなってしまうこともあります。
原因の特定と修正
サーバーのログファイルを確認し、不審なアクセスや変更を調査します。改ざんされたファイルやコードを特定し、オリジナルの状態に戻します。
セキュリティ強化
全てのユーザーのパスワードを変更し、強固なものに更新します。セキュリティプラグインの設定を見直し、必要に応じて強化します。
復旧とモニタリング
最新のバックアップからサイトを復旧します。バックアップがない場合は、手動で修正が必要です。復旧後、サイトのモニタリングを強化し、再発防止に努めます。異常なアクセスや不審な動きがないかを定期的にチェックします。
再発防止策の実施
セキュリティポリシーを見直し、必要な改善を行います。サイト管理者や関連するスタッフに対して、セキュリティ意識の向上と対応訓練を実施します。
まとめ
WordPressサイトのハッキングは、サイトの信頼性を損なうだけでなく、訪問者にも危害を及ぼす可能性があります。適切なセキュリティ対策を行い、定期的な監視とアップデートを怠らないことが重要です。また、ハッキングが疑われる場合は迅速に対処し、被害の拡大を防ぐことが必要です。セキュリティは常に進化するため、最新の情報を得て対策を更新し続けることが、WordPressサイトを守る鍵となります。ハッキングに関してはブログ初心者などではほぼ太刀打ちできないと思います。
数時間から数日で不正なページが量産されてしまうこともあるので、専門の業者やWordPressが正常に動いているかどうかを判断できる人にお願いしてしまう方が後々トラブルが少ないかと思います。ハッキングが疑われる場合にはなるべく早く動くことが必要ですのでこちらのサービスもご検討ください。
