お問い合わせはこちら
  1. カゴヤのサーバー研究室
  2. レンタルサーバー実習室
  3. WordPress実践編
  4. WordPressの脆弱性は?対処法を知って対策しよう
WordPress実践編

WordPressの脆弱性は?対処法を知って対策しよう

公開
更新
WordPress セキュリティ

WordPressでは脆弱性を狙った攻撃が頻繁に行われており、安全に利用するためには対策が必須です。この記事では、脆弱性とは何かといった基本から、具体的にどのような種類の攻撃があるか、さらには対策方法についても紹介します。WordPressの脆弱性対策は、方法さえ知っていれば専門的な知識を勉強したりそれほど手間をかけたりしなくても、対応することができます。

脆弱性とは?

脆弱性とは、OSやプログラム上の不具合や設計ミスによって生じるセキュリティ上の弱点をさします。ハッカーのような悪意のある第三者は、脆弱性をついて相手のコンピューターをウイルスに感染させたり、ホームページを公開しているサーバーであれば改ざんしたりするのです。

WordPressは脆弱性が多いの?

残念ながら、WordPressに対する攻撃が多い点は否めません。WordPressを使ったホームページが攻撃の対象になったという話題は、ニュースなどでよくみかけます。

ただしそれは、WordPressが他のプログラムと比較して優れていない(脆弱性が多い)というわけではなく、WordPressを取り巻く環境の方に原因があると考えられます。

W3Techsの調査(2018年10月時点)によれば、世界中で公開されているホームページのうち、約3割はWordPressを利用しているということです。つまり悪意のある攻撃者は、WordPressに対する攻撃方法を把握すれば、世界中の3割のホームページを攻撃できるわけです。ハッカーのような攻撃者からすると、WordPressは効率のよい攻撃対象と言えます。たとえばWordPressでは、管理画面のURLが決まっているなど、WordPressを利用したサイトに共通する構造があり、これも攻撃対象にしやすいポイントです。

ユーザー数が膨大で、それに比例してWordPressについて研究する人も多く、WordPressに関する情報はインターネットなどからも手に入れやすくなっています。情報を入手しやすいということは、一般のユーザーにとってもありがたいですが、攻撃者にとっても都合がよいのです。

またWordPressに追加して利用するプログラムのことを「プラグイン」と言いますが、ユーザー数が多くプラグインの数も豊富にあることで、結果的に脆弱性がみつかる可能性も高くなってしまうといった面もあります。

WordPressの脆弱性を利用した不正アクセス攻撃一覧

ここではWordPressに対しよく行われる攻撃の種類と、それらの攻撃でどのような被害を受ける可能性があるのか、一覧にまとめます。

コンテンツインジェクション
外部から不正な文字列・コードなどを送ることで、相手のコンテンツを改ざんしたり消去したりする攻撃手法です。
コンテンツインジェクションを使って、同じ時期に大量のホームページが改ざんされてしまった事例もあります。
SQLインジェクション
コンテンツインジェクションはコンテンツに対する攻撃でしたが、SQLインジェクションとは、WordPressでも使われているデータベースに対する攻撃です。
データベースにはコンテンツの内容やフォームから寄せられた顧客からの問い合わせ内容、会員の個人情報などさまざまなデータが保存されています。データベースに対して不正なコードを送信することで不具合を生じさせ、保存された個人情報などのデータを不正に取得します。
ブルートフォースアタック
パスワードを解析する攻撃手法の1つです。総当たり攻撃とも呼ばれ、手あたり次第にさまざまなパスワードを試し、正解にたどりつく攻撃です。
WordPressで管理者アカウントのパスワードが悪意ある第三者に知られてしまった場合、相手は管理者の権限と利用して、何でもできてしまいます。
サイトの乗っ取りや改ざんはもちろんのこと、WordPressに保存された個人情報のデータを取得されるといった場合もあります。
ゼロディ攻撃
プログラムの脆弱性が発見された際、それが広く知られたり、プログラムの提供元が改修に必要なアップデートを配布したりする前に、その脆弱性を使って攻撃する手法の総称です。
実際にどのような脆弱性に対する攻撃かは限定されませんので、ゼロディ攻撃によるWordPressの被害についても1つに限定できません。
ゼロディ攻撃によって、さまざまな攻撃を受ける可能性があると言えます。
クロスサイトスクリプティング
攻撃者は、まず悪意のあるコンテンツやプログラムを保存したウェブサイト(ウェブサーバー)を確保します。その上で攻撃対象のウェブサイトの脆弱性をついて罠をしかけておきます。
ユーザーが攻撃対象のサイトを訪れ罠にかかってしまった場合、悪意のあるウェブサイトのプログラムが実行されてしまうというものです。単純なものでは、たとえば掲示板やコメント欄などに攻撃者が悪意あるウェブサイトのURLを含んだリンクを投稿し、ユーザーがそのリンクをクリックした途端に被害を受けるというような攻撃があります。
これによってユーザーはフィッシング詐欺を受けたり個人情報を不正に盗み取られてしまったりします。なかには、検索エンジンにサイトの構造を知らせるサイトマップが改ざんされ、検索順位が低下したり、トラフィック数が減少したりといったケースもあります。
WordPressは対策しておかないと、上述のようなさまざまな攻撃を受ける可能性があります。

最近起きた不正アクセス攻撃事例

事例1(2018年11月)

EUが施行した「一般データ保護規則(GDPR)」に準拠するために役立つプラグイン「WP GDPR Compliance」に脆弱性が発見されました。このプラグインのアップデートが公開され、多くのサイトが適用する前にゼロディ攻撃が行われたようです。対象のサイトは、改ざんはもとよりサイトを乗っ取られる可能性もありました。また、攻撃対象を踏み台として不正なサイトへ誘導されるなどの被害も確認されました。

事例2(2018年8月)

WordPress向けのテーマ「tagDiv」やプラグイン「Ultimate Member」の脆弱性をつき、サイトを改ざんして悪意のある不正なサイトへ誘導する攻撃が確認されました。2つあわせて2,200件以上のサイトが被害を受けたということです。このほか2017年2月には、WordPressに深刻な脆弱性がみつかり150万を超えるサイトが改ざんの被害を受けるという事例もありました。この脆弱性を利用すると、遠隔地から簡単にWordPress上のコンテンツを変更できてしまう状態でした。

WordPressの脆弱性への対策方法

WordPressの脆弱性については、専門的な知識を必要としなくても少しの手間でできる対策がたくさんあります。これらの対策をしておくことで、攻撃を受ける可能性を格段に減らすことができます。

すぐにでもできる簡単な対策は「【最低やっておくべき】WordPressのセキュリティ強化対策5つ~初心者向け~」にまとめてありますので、参考になさってください。
それでは、簡単にできる対策についてご紹介します。

管理画面へのユーザー名/パスワード強化

管理者アカウントを乗っ取られないようにするため、ユーザー名やパスワードを強化します。ユーザー名を「admin」のような推測されやすいものから変更し、パスワードは「1234」のような簡単なものではなく複雑な文字列にします。

プログラムの最新化

WordPress本体やプラグインなどは、不具合がみつかると随時アップデートが公開され、その内容がWordPressの管理画面に通知されます。この通知をもとにプログラムを常に最新な状態に保つことで、セキュリティを高めることができます。

重要な設定ファイルにアクセスされないようにする

WordPressの設定ファイルへアクセスされないように、FTPソフトで「ファイルの属性(パーミッション)」を変更するなどします。

使用していないプラグインは削除する

プラグインの脆弱性に対する攻撃を予防するため、使っていないプラグインは削除します。

そのほかプラグインを使うことで以下のような設定も可能です。

  • 管理画面のURLを変更
  • 管理画面へのログイン試行回数の制限
  • データベースの接頭辞変更
  • WordPressのバージョン情報の表示削除など

詳細は、上記にあげた対策をできるプラグインを紹介した「All In One WP Security & Firewallでwordpressのセキュリティ設定をしよう」をご覧ください。

また、2段階認証を追加するプラグイン「Google Authenticator」、画像認証を追加できるプラグイン「SiteGuard WP Plugin」などもあります。

万が一コンテンツが改ざんされてしまった際や削除されてしまった際に、もとに戻すためのバックアップを定期的にしておくことや、管理画面などの通信を暗号化するSSLへの対応なども有効です。

脆弱性の診断方法

ここでは専門的な知識がなくても、無料でWordPressの脆弱性を診断できる方法を紹介します。

WPScans.com

URLを入力するだけで、脆弱性がないか簡単に診断してくれるウェブ上のツールです。使い方は簡単で、URL欄に対象のWordPressのURLを入力した上、使用条件に同意した旨のチェックをいれ「START SCAN」をクリックするだけです。

Wpdoctor

こちらもWordPressで生成されたサイトに脆弱性がないかを確認できる、ウェブ上の脆弱性診断ツールです。URLを入力して「サイトを検索」をクリックするだけで、脆弱性検査のレポートが表示されます。こちらはサイトの説明が日本語なので、使いやすいと思います。

あなたのサイトは大丈夫ですか?WordPress脆弱性診断

WordPressの本体、プラグイン、テーマの脆弱性を診断し、レポートをお届けします。1回だけのスポット診断か、月1回定期診断(年更新)のどちらかを選択いただけます。詳しくはこちら。

WordPress脆弱性診断

まとめ

WordPress作成によるサイトは、脆弱性を考慮して対策をとることが大切です。脆弱性に対して悪質な攻撃を受けないためにも、しっかりと対策をしておきましょう。上述のように、専門的な知識がなくても対応できる対策もありますので、ぜひ参考になさってください。

関連記事

WordPress実践編

WordPressにログインできない場合の対処法

WebサイトをWordPressで運営していると、突然管理画面にログインできなくなる場合があります。そんな時は、落ち着いて必要な対処をしていきましょう。トラブルのパターンにより対処方法は変わりますが、ほとんどの場合は解決できます。普段からやっておくべき対策もあわせてご紹介します。 目次WordPressへのログイン方法 […]
西山一郎

西山一郎

WordPress実践編

まちのお店の情報発信をWordPressテーマでもっとお手軽に!

まちの個人商店やイベントの主催者など、さまざまな事業者が情報発信にインターネットを活用している。しかし、SNSではタイムライン上で情報が流れて行ってしまうし、口コミサイトに掲載しても競合に埋もれてしまう。 今、ローカルビジネスの宣伝において、自分たちのこだわりを伝えて集客するため、ホームページの活用が見直されている。簡 […]
カゴヤのサーバー研究室 編集部

カゴヤのサーバー研究室 編集部

WordPress実践編

SiteGuard WP Pluginでサイトを守る!設定と注意事項

「SiteGuard WP Plugin」はWordPressの管理画面・ログイン画面を保護するための無料プラグインです。この記事ではSiteGuard WP Pluginの使い方と、手違いでログインできなくなった場合(URLを忘れた場合)の解決方法を解説しています。 目次SiteGuard WP Pluginとは?設 […]
小泉 健太郎

小泉 健太郎

この記事を書いたライター

小泉 健太郎

小泉 健太郎

法人向けインターネットサービスプロバイダのサポートリーダーや販売推進担当を経験した後、2016年7月にライターとして独立。
IT関連をはじめ保険、旅行、グルメなど幅広い分野の記事を執筆中。

▼主な記事の寄稿先
 ・次世代ゲームテスト研究所
  https://blog.aiqveone.co.jp/
 ・保険の教科書
  https://hoken-kyokasho.com/

このライターの記事一覧
WordPress実践編一覧へ