WordPressサイトのハッキング対策7選と復旧方法!事例や侵入される原因も解説
WordPressは世界一利用されているCMSのため、脆弱性が見つかると狙われやすいのが難点です。しかし、様々な対策をしっかりと行えば、不正アクセスやハッキングを防ぐことは可能です。
そこで本記事では、WordPressのハッキング対策について、以下の点を紹介します。
Webサイトを安全に運営するためにも、ぜひ参考にしてください。
WordPressのハッキングによる3つの被害事例
WordPressのハッキングの被害事例は、主に以下の3つです。
- Webサイトの改ざん
- データの改ざん・漏洩・破壊
- 既存ファイルの削除、不正ファイルの追加
それぞれ説明していきます。
1. Webサイトの改ざん
1つ目の被害は、Webサイトを改ざんされ、所有者の意図しない内容に書き換えられることです。
たとえば、スパムサイトやマルウェアサイトへのリンクが埋め込まれたり、iframeで外部サイトを表示させられたりするのが、その一例です。また、悪意あるスクリプトを埋め込まれることで、Webサイトの訪問者が被害を受けることもあります。
2. データの改ざん・漏洩・破壊
2つ目は、データの改ざんや漏洩です。具体的には以下のような被害があります。
- データベースの改ざん・破壊
- ログインデータの漏洩
- パスワードの漏洩
WordPressのテーマやプラグイン、記事のテキスト情報などは、サーバー内のデータベースに保管されています。そのデータを書き換えられることで、被害が発生します。
ログインデータやパスワードもデータベースに記録されているため、ハッキングによりアクセスされてしまうかもしれません。パスワードが漏洩すると、管理者権限も乗っ取られてしまいます。
3. 既存ファイルの削除、不正ファイルの追加
データの改ざんだけでなく、ファイルそのものを削除されたり、勝手に追加されたりする被害もあります。
たとえば不正ファイルを追加されることで、不正なページを大量生成されることもあるのです。このようなハッキングをされる原因について、次の章で説明していきます。
WordPressがハッキングされる3つの原因
WordPressがハッキングされる原因は、主に3つあります。
- ユーザー名やパスワードを突破される
- ソフトウェアが最新ではない
- 脆弱性のあるテーマやプラグインを使っている
1つずつ見ていきましょう。
1. ユーザー名やパスワードを突破される
WordPressのログインにはユーザー名とパスワードの2つが必要です。そのため、何らかの手段でユーザー名とパスワードを突破されることが、1つ目の原因です。
以下は、簡単なユーザー名・パスワードの一例です。
- 文字数が少ない
- 数字だけ・アルファベットだけの単純な文字列
- 個人情報から推測できる
個人が特定できている場合は、名前のローマ字表記や誕生日などで、パスワードが破られることもあります。
また、パスワードの総当たり攻撃(ブルートフォースアタック)で不正アクセスをされることもあります。総当たりとは、考えられる文字列の組み合わせをすべて試す手法です。
プログラムなどを利用して、このような総当たり攻撃を仕掛ける攻撃者もいます。
2. ソフトウェアが最新ではない
WordPressのソフトウェアが最新でないことも、ハッキングの原因となります。
WordPressは世界で一番利用されているCMS(コンテンツ管理システム)のため、脆弱性が見つかると狙われやすくなります。
脆弱性が見つかり次第、公式ソフトウェアはバージョンアップされているため、これを最新に保っていないと攻撃対象となる場合があり、注意が必要です。なお、WordPressはすべてのWebサイトの42.6%、CMSの65.2%のシェアを占めています。
引用元:Usage statistics of content management systems
3. 脆弱性のあるテーマやプラグインを使っている
WordPressのソフトウェアだけでなく、テーマやプラグインにも脆弱性が見つかる場合があります。特にプラグインは複数の種類をインストールしていることが多く、その中の1つにでも脆弱性があれば、攻撃されてしまいます。
これらの原因をふまえて、ハッキングを防ぐための対策を次の章でお伝えしますので、参考にしてください。
WordPressのハッキングを防ぐ7つの対策
WordPressのハッキングを未然に防ぐ対策としては、以下の7つが挙げられます。
- セキュリティ対策サービスを利用する
- 二段階認証を使用する
- 複雑なユーザー名にする
- ユーザー名の表示を変更する
- ログインページのURLを変更する
- WordPressを最新の状態を保つ
- テーマやプラグインは信頼できるものを使用する
順番に見ていきましょう。
1. セキュリティ対策サービスを利用する
WordPress単体で対策するだけでなく、サーバーやホスティング会社によるサービスを利用することが、ハッキングを防ぐには有効です。
また、弊社で提供している「SiteLock」も、セキュリティの効果が高いサービスです。
SiteLockはWordPressの脆弱性診断、改ざん監視、マルウェア検知・駆除などを行える、オールインワンのセキュリティサービスです。診断メニューが豊富にあり、この1つを入れておくだけで幅広い対策を行えます。
初心者にも簡単に操作できるため、セキュリティを万全にしたい方は、まずSiteLockを入れておくと安心できるでしょう。SSL診断にも対応しています。
2. 二段階認証を使用する
二段階認証とは、ユーザー名やパスワード以外にも、SMSなどで本人確認が必要となる認証方法です。万が一パスワードが流出しても、不正アクセスはされません。
たとえば弊社サービスの「Value-Auth」を利用すると、WordPressにも簡単に二段階認証を導入できます。メールやSMSによる二段階認証を、ご自身のWordPressサイトへのログインに組み込めます。
SMS10通・メール100通までは月額料金0円なので、Webサイトを不正ログインから守りたい方は、ぜひValue-Authをお試しください。
3. 複雑なユーザー名にする
WordPressのログインユーザー名を複雑なものにしておくのも、ハッキング対策としては基本です。
ユーザー名が分かると、パスワードに総当たり攻撃をかけられるためです。たとえば「administer」や「admin」のように、よく使われるユーザー名は避けましょう。
4. ユーザー名の表示を変更する
ユーザー名は複雑にするだけでなく、表示名を変更することも重要です。なぜなら、自動生成される「投稿者アーカイブ」のページURLに、ユーザー名が表示され、誰でも見ることができるからです。
投稿者アーカイブのURLは、どのサイトも共通で「https://WebサイトのURL/?author=ID」となっています。
IDの箇所に数字(1.2.3......)を入れてアクセスすると、URL末尾にユーザー名が表示される仕組みです。
そのため、投稿者アーカイブに表示される名前を、実際のユーザー名ではなく任意の文字列へ変更しておきましょう。プラグイン「Edit Author Slug」をインストールすることで、簡単に設定を行えます。
5. ログインページのURLを変更する
WordPressのログインページのURLを変更するのも、効果的なハッキング対策です。
初期設定では以下のURLで、ログインページへアクセス可能となっています。
- https://ドメイン/wp-login.php/
- https://ドメイン/wp-admin.php/
Webサイトのドメインさえ分かれば、誰でもログインページを開ける状態です。そのため、ログインページのURL末尾を「wp-login.php」や「wp-admin.php」から、任意の文字列へ変更しましょう。
変更するとログインページ自体のアクセスを防げるため、万が一パスワードが漏洩しても不正ログインはされにくいです。ログインページのURL変更は、プラグイン「SiteGuard WP Plugin 」で設定が可能です。
6. WordPressを最新の状態を保つ
ハッキングされる原因でもお伝えした通り、WordPressは世界中で利用されているため、脆弱性が見つかるとすぐに狙われます。
脆弱性があった場合には、公式からもすぐに最新バージョンのリリースがあるため、常に最新バージョンへ更新しておきましょう。
更新方法や注意点は「WordPressに脆弱性が、早めのアップデートを」で詳しく解説していますので、あわせてご覧ください。
7. テーマやプラグインは信頼できるものを使用する
WordPressのテーマやプラグインは、WordPress公式のものだけでなく、一般の方が作ったものも数多く公開されています。
その中に脆弱性のあるテーマなどが存在する可能性もあるので、信頼できるものを選ぶことが重要です。
インストール前にはレビューを必ず確認し、インストール数の多いものや評価の高いものを利用しましょう。また、WordPressのソフトウェアと同様に、テーマやプラグインも常に最新の状態を保っておきます。
コアサーバーのハッキング対策
- コアサーバーV1プラン:海外からの試行に対するIPブロックを実施
- コアサーバーV2プラン:パスワードの入力間違いが一定数を超えたらIPブロックを実施
海外からの試行に対するIPブロックや一定回数以上の入力間違いでIPブロックすることで、不正なアクセスを防ぐことができます。コアサーバーでは、常に不正なアクセスに対するセキュリティ強化に努めています。大切なサイトを守るためにも是非コアサーバーをご利用ください。
WordPressをハッキングされた場合の対応と復旧方法
WordPressをハッキングされた場合に行うべき対応は、主に以下の5つです。
- 不審なコードやデータを削除する
- ローカル環境(PC)のウィルスチェックをする
- Webサイトをスキャンする
- パスワードやシークレットキーを変更する
- バックアップをとる
以下で1つずつ説明していきます。
なお、WordPress公式サイトにも解説がありますので「FAQハッキングされた場合は」も参考にしてみてください。
1. 不審なコードやデータを削除する
ハッキングされた場合はまずWebサイト内を確認し、不審なコードやデータを削除します。記憶にないファイルやスクリプト、入れた覚えのないプラグインなどが不審なコードやデータに該当します。
また、チェックや復旧作業を楽にするために、使っていないテーマやプラグイン等も削除しておきましょう。
2. ローカル環境(PC)のウィルスチェックをする
不審なデータを削除したら、ローカル環境(PC・スマホなど)のウィルスやマルウェアのチェックを行います。
一般的なセキュリティソフトを使い、フルスキャンを行えば大丈夫です。万が一、ウィルスが検出された場合には、除去を実行します。
3. Webサイトをスキャンする
ローカル環境のチェックが終わったら、次にWebサイトのスキャンを行います。自分で行う場合は、ウィルスチェック用のプラグインを使うと手軽に行えます。
確実にチェックできているか心配な場合は、エンジニアなど専門家へ委託した方が安心かもしれません。
4. パスワードやシークレットキーを変更する
ウィルスチェックや修復を終えたら、パスワードを変更しましょう。ただし、万が一パスワードが漏洩している場合は、攻撃者がログイン状態になっている可能性もあります。
そのため、パスワード以外にシークレットキーも新しくするのがおすすめです。「wp-config.php」のファイル内の値を上書きすることで、シークレットキーを変更できます。
5. バックアップをとる
すべての対応が終わったら、Webサイトのデータのバックアップを取りましょう。サーバーに付随しているバックアップサービスを使うのが、一番手軽な方法です。
コアサーバーであればV2プランは無料で、V1プランは月額150円で自動バックアップを行えます。まだご利用になってない方は、不測の事態に備えてぜひお申し込みください。
まとめ
WordPressのハッキングによる被害は、サイトの改ざんだけでなく、データやパスワードが漏洩する恐れもあります。
しかし、セキュリティサービスを利用することで、リスクを大幅に軽減できます。
弊社のSSL証明書やSiteLockを導入すると、脆弱性診断やウィルスチェックもオールインワンで実行でき、安心です。さらにValue-Authで二段階認証を設定すると、セキュリティはより強固になるでしょう。
WordPressのハッキング対策を万全にしたい方は、ぜひSiteLockやValue-Authをご利用ください。
目次へ