インフラ保守・運用とは?それぞれの業務内容や必要なスキル、外注時の注意点を紹介

WordPressのハッキング予防法15選!原因や復旧方法は?具体的な事例も紹介

渡部直樹

WordPressサイトがハッキング被害に遭った場合、記事改ざん、ウイルスの埋め込み、検索順位低下、アクセス妨害、個人情報の漏洩など多岐に渡るリスクがあります。その原因はユーザー名・パスワードが弱い場合、ソフトウェアを最新のものにアップデートしていない場合など様々です。被害にあった場合の確認ポイントや予防法、復旧方法などを詳しく説明します。これらを参考に、安全なWebサイト運営を心掛けましょう。

WordPressがハッキングされた際の被害事例

WordPressサイトがハッキングされた場合、さまざまな被害が発生する可能性があります。WordPress本体のアップデートやセキュリティ対策を強化してもハッキングされる可能性は0にはなりません。Webサイトを安全に運営するためにも、ぜひ参考にしてください。

Webサイトを意図しない内容に書き換えられる

ハッカーがWordPressサイトに侵入すると、サイトのページや記事が改ざんされ、不適切なコンテンツやスパムが挿入されることがあります。例えば、成人向けコンテンツや薬物広告などが表示されることがあります。これは訪問者に悪い印象を与え、サイトの信頼性を大きく損ないます。

ウイルスをWebサイトに埋め込まれる

ハッキングされたWordPressサイトにはウイルスやマルウェアが埋め込まれることがあります。訪問者が感染する可能性があるため、信頼性が低下し、悪評が広まります。また、ウェブサイトからユーザーのデバイスに感染が広がることもあります。

検索順位の低下・削除

ハッキングによってサイトがスパムやウイルスで満たされると、検索エンジンからの評価が低下し、検索結果での表示順位が下がるか、サイトが完全にインデックスから削除される可能性があります。これは、サイトの可視性を大きく損ないます。

Google のセーフ ブラウジング テクノロジーは、1 日に数十億もの URL を調査して、安全ではないウェブサイトを探しています。ブラックリストに登録されると、検索順位から削除されるほか、ユーザーがアクセスする際に警告画面が表示されることになります。
自分のサイトの状況を確認したい場合は、Googleのセーフブラウジングにアクセスし、URLを入力すれば現在の状況を確認できます。

https://transparencyreport.google.com/safe-browsing/search?hl=ja

Webサイトにログインできない

ハッキングによって、サイトの管理者アカウントが侵害され、管理者がサイトにログインできなくなることがあります。これにより、サイトの運営が困難になり、ハッカーが続けて不正なアクティビティを行う可能性があります。

個人情報の漏洩

WordPressサイトがハッキングされると、ユーザーの個人情報が盗まれる危険性があります。これはプライバシー侵害の一例であり、法的な問題を引き起こす可能性があります。ユーザーの信頼を失うことにつながります。

不正のファイルの追加や、既存コンテンツの削除

ハッカーは、WordPressサイトに不正なファイルやスクリプトを追加したり、既存のコンテンツを削除したりすることがあります。これにより、サイトが壊れたり、不正なリダイレクトが発生したりする可能性があります。サイトの信頼性と機能性が損なわれます。

スパムメールの送信にWebサイトが利用される

ハッキングされたWordPressサイトは、スパムメールを送信するために悪用されることがあります。これにより、サイトのIPアドレスがブラックリストに登録され、信頼性が低下し、メール配信が制限される可能性があります。

悪質なサイトへ勝手にリダイレクトされる

ハッキングされたWordPressサイトは、訪問者を悪質なサイトに自動的にリダイレクトするように改ざんされることがあります。これにより、ユーザーエクスペリエンスが損なわれ、信頼性が低下します。また、SEOにも悪影響を及ぼす可能性があります。

WordPressがハッキング被害にあう原因

WordPressがハッキングされる原因は多岐にわたります。ここでは、主要な原因を詳しく説明します。

ユーザー名・パスワードが破られた場合

ユーザー名とパスワードが弱い、または共通のものを使用している場合、ハッカーはブルートフォース攻撃や辞書攻撃を使用してアカウントに侵入しやすくなります。強力なパスワードを使用し、定期的に変更することが重要です。

ソフトウェアを最新のものにアップデートしていない場合

WordPressのコア、プラグイン、テーマなどのソフトウェアが最新でない場合、既知のセキュリティの脆弱性が悪用される可能性が高まります。定期的にアップデートを行いましょう。

プラグインやテーマに脆弱性がある場合

不正なコードが埋め込まれたプラグインやテーマを使用すると、ハッキングのリスクが高まります。信頼性の高い開発者から提供されるプラグインとテーマを選び、不要なプラグインを削除しましょう。

セキュリティ対策を講じていない場合

セキュリティ対策を怠ると、ハッキングのリスクが高まります。セキュリティプラグインの導入、ログの監視、アクセス制御などの対策を実施し、サイトを保護しましょう。

WordPressに対するハッキングの種類

WordPressに対するハッキングは、さまざまな手法で行われます。以下は一般的なハッキング手法の詳細です。

ブルートフォース攻撃

これは総当たり攻撃とも呼ばれる方法で、攻撃者が無数のユーザー名やパスワードの組み合わせを試みることでアクセスを試みます。
これを防ぐためには、ログイン試行回数を制限したり、二段階認証を導入することが効果的です。

SQLインジェクション

これは、ウェブフォームやURLのクエリパラメータにSQLコードを挿入してデータベースを操作する攻撃方法です。
この攻撃を防ぐためには、入力データのエスケープやプリペアドステートメントの使用が推奨されます。

ファイルインクルージョン脆弱性

WordPressのコード内で不適切に処理されるファイルの読み込み・実行を利用する攻撃方法です。
この攻撃を防ぐためには、不要なファイルのアップロードを禁止し、コード内でのファイルの読み込み先を適切に制限することが必要です。

クロスサイトスクリプティング(XSS)

悪意のあるスクリプトをウェブページに注入して、訪問者のセッション情報を盗むなどの攻撃方法です。
ユーザー入力の適切な検証とエスケープ、Content Security Policy (CSP) の導入などで防ぐことができます。

クロスサイトリクエストフォージェリ(CSRF)

攻撃者がユーザーのブラウザを利用して、ユーザーの意図しない操作を行わせる攻撃方法です。
トークンベースの認証やSameSite属性の導入などで防ぐことができます。

不正なリダイレクト

攻撃者がユーザーを悪意のあるサイトに誘導するためのリダイレクトを埋め込む攻撃方法です。
入力の検証とリダイレクトのホワイトリスト化で対策が可能です。

オブジェクトインジェクション

不正なデータを通じてWordPress内部のオブジェクトを操作し、任意のコードを実行する攻撃方法です。
ユーザーからの入力データの適切な検証や、オブジェクトのシリアル化を避けることで防ぐことができます。

XML-RPC攻撃

WordPressのXML-RPC APIを利用して、複数のリクエストを同時に送信することでサーバーを過負荷にさせる攻撃方法です。
必要がない場合はXML-RPC機能を無効化することが推奨されます。

ユーザーエニュメレーション

ユーザー名を自動的に推測し、その情報を利用した他の攻撃の前段階として行われることが多い。
ユーザー名の推測を難しくするためのプラグインを使用するか、管理者のユーザー名を一般的でないものに変更することで対策が可能です。

不正なプラグインやテーマ

攻撃者が提供する悪意のあるプラグインやテーマを利用することで、サイトが乗っ取られる恐れがある。
信頼性のあるソースからのみプラグインやテーマをダウンロードし、定期的に更新することが重要です。

WordPressがハッキングされた際に確認すること

サイト運用において重要なのは、いかに早くハッキングされたという事態に気づくことができるかです。
ハッキングに気づくのが遅れれば、それだけ情報漏洩などのリスクが高まり、あなたのサイトを通してフィッシングなどの被害に遭うユーザーが増える可能性があります。

WordPressがハッキングされたかどうかを確認するために、以下のポイントを詳細に説明します。

見覚えのないリンクや広告がないか

サイト内に不審なリンクや広告が表示されていないかを注意深くチェックしましょう。ハッキングの兆候である可能性があります。

Webサイトの表示が正常か

サイトが正常に表示されているかどうかを確認し、不正な変更がないかを確認します。ページのレイアウトやテキストが変更されていないかを確認しましょう。

Googleやサーバー会社から通知が来ていないか

Google Search Consoleやホスティングサービスから、不正なアクティビティに関する通知が来ていないかを確認します。これらの通知は、サイトのセキュリティ問題を示すことがあります。

分析用ツールで検索流入数を確認する

サイトへの検索エンジンからのトラフィックが急激に減少していないかを確認します。ハッキングによって検索順位が低下した可能性があります。

管理画面に問題なくログインできるか

サイトの管理者として、管理画面に問題なくログインできるかどうかを確認します。アカウントが侵害されている場合、ログインができないことがあります。

バックドアが設置されていないか

ハッキングされた際には、高い確率でバックドアも設置されているケースが多いです。そのため、復旧したとしても1週間もすれば再びサイトの改ざんなどが行われる可能性があります。バックドアのコードについても探して削除するか、ハッキングされる前のバックアップや新しいテーマファイルを使用して復旧する必要があります。

WordPressのハッキング被害を予防する方法

WordPressのハッキング被害を予防するために、以下の方法を詳しく説明します。

SSLなどのセキュリティサービスを利用する

SSL証明書を導入し、データの暗号化を行います。これにより、データの送信中に情報が漏れるリスクが低減し、ユーザーの信頼性が向上します。

二段階認証を組み込む

二段階認証を有効にし、ログインプロセスを強化します。パスワードだけでなく、追加の認証ステップが必要になり、アカウントの安全性が向上します。

よく使われるユーザー名を避け、複雑にする

ユーザー名を予測されにくいものに変更し、複雑なパスワードを使用します。共通のユーザー名とパスワードは避け、セキュアな認証情報を選びます。

ログインパスワードを推測されにくいものにする

強力なパスワードを生成し、定期的に変更します。パスワードマネージャーを使用して、セキュアなパスワードを生成および管理します。

URLに表示されるユーザー名を任意の文字列に変更する

ログインページのURLに表示されるユーザー名を変更し、攻撃者からのユーザー名特定を難しくします。セキュリティプラグインを使用してこの設定を行います。

ログインページのURLを任意の文字列に変更する

デフォルトのログインページのURLを変更し、攻撃者からのアクセスを難しくします。セキュリティプラグインを使用してこの設定を行います。

WordPress・テーマ・プラグインを常に最新のバージョンにしておく

WordPressコア、テーマ、プラグインを最新のバージョンにアップデートします。セキュリティの脆弱性が修正されていることが多いため、アップデートは重要です。

信頼性の高いテーマとプラグインのみ使用する

信頼性の高い開発者から提供されているテーマとプラグインを選びます。未検証のソースからのコードをインストールしないようにしましょう。

セキュリティ対策が可能なプラグインを導入する

セキュリティ対策プラグインを導入し、ウェブサイトを保護します。例えば、ファイアウォールや不正アクセス検出などの機能を提供するプラグインを使用します。

ログインの試行回数の制限をかける

ブルートフォース攻撃からサイトを保護するために、ログインの試行回数の制限をかけます。制限回数を超えると一時的にアクセスがブロックされます。

サーバー側のセキュリティを強化する

ホスティングサーバーのセキュリティ設定を確認し、適切な保護措置を講じます。ホスティングプロバイダーによるセキュリティサービスを利用することも考慮しましょう。

ファイアウォールを設定しておく

ウェブアプリケーションファイアウォール(WAF)を設定し、不正なトラフィックからウェブサイトを保護します。 WAFは不正なリクエストや攻撃を検出してブロックします。

WordPress保守サービスを利用する

WordPress保守サービスを利用することで、セキュリティスキャン、バックアップ、アップデートなどのタスクを専門家に任せることができます。これにより、サイトのセキュリティと運用が向上します。

ウイルスチェックをこまめに行う

ウイルススキャンツールを定期的に実行し、ウェブサイト内のマルウェアや不正なコードを検出します。早期の発見と削除が重要です。

バックアップデータを定期的にとっておく

サイトのデータを定期的にバックアップする習慣を持ちましょう。バックアップデータは、ハッキングやデータ損失の際にサイトを迅速に復元するのに役立ちます。

WordPressをハッキングされた際の復旧方法

WordPressがハッキングされた場合、早急な対応が不可欠です。以下は、ハッキング被害からの復旧方法の詳細です。

覚えのないコード・データ・プラグインを削除する

ハッキングによって追加された不正なコード、データ、プラグインをサイトから完全に削除します。ファイルやデータベース内で不審な変更がないかを確認しましょう。

PC・スマホなどをローカル環境にしてからウイルスチェックを行う

自身のデバイス(PC、スマートフォンなど)をウイルス対策ソフトウェアでスキャンし、感染がないか確認します。感染が確認された場合、クリーンなデバイスでの作業を行います。

プラグインを利用してWebサイトのウイルスチェックを行う

セキュリティプラグインを使用して、WordPressサイト内のウイルスやマルウェアを検出します。不正なファイルやコードの検出と削除を行います。

パスワード・シークレットキーを新しくする

ハッキングの被害を受けた場合、すぐにパスワードとWordPressのシークレットキーを変更します。セキュアなパスワードを生成し、シークレットキーを再設定することで、ハッカーからのアクセスを阻止します。

バックアップデータをとる

ハッキングの前に取得した最新のバックアップデータを使用して、サイトを以前の正常な状態に復元します。バックアップからデータを復元する手順を確認し、データの損失を最小限に抑えます。

WordPressのセキュリティ・運用はプライム・ストラテジーにお任せください

WordPressのセキュリティと運用は専門知識を必要とし、専門家の支援が重要です。プロのWordPress保守サービスプロバイダーにお任せすることで、サイトのセキュリティと正常な運用が確保されます。適切なセキュリティプランと監視を提供することで、サイトの安全性を維持し、ハッキングからのリスクを最小限に抑えます。

まとめ

WordPressのハッキング被害は深刻な問題であり、多くの被害を引き起こす可能性があります。しかし、適切なセキュリティ対策を講じ、定期的な保守を行うことで、ハッキング被害を最小限に抑えることができます。

WordPressサイトを運営する際には、セキュリティに対する高い警戒心を持ち、上記の方法を実践しましょう。サイトのセキュリティを強化し、信頼性を高めることができます。

関連記事

Webサイト運用の課題解決事例100選 プレゼント

Webサイト運用の課題を弊社プロダクトで解決したお客様にインタビュー取材を行い、100の事例を108ページに及ぶ事例集としてまとめました。

・100事例のWebサイト運用の課題と解決手法、解決後の直接、間接的効果がわかる

・情報通信、 IT、金融、メディア、官公庁、学校などの業種ごとに事例を確認できる

・特集では1社の事例を3ページに渡り背景からシステム構成まで詳解