WordPressのセキュリティ対策まとめ

wordpressは無料で使えるうえにテンプレートの種類が豊富であり、さらにカスタマイズもしやすいという点が人気です。そのため、個人から企業に至るまでwordpressを使ったサイトは多く見られます。しかし、その反面いくつかの脆弱性について指摘されており、サイトの書き換えなどの被害も報告されているのが現状です。そこで、サイバー攻撃を受けているときに起こりやすい症状や知っておきたいセキュリティ対策についてまとめてみました。

wordpressがサイバー攻撃を受けているかどうかは、さまざまな症状で判断することができます。その中で自分でも気づきやすいのは、サイトの立ち上げが重くなることです。重くなるというのはサイトが開くまでに異様に時間がかかるということで、場合によってはまったく反応しないこともあります。ただし、サイトが急に重くなるという現象はサーバーをアップデートした直後にも起こりやすいため、サーバー会社の状況を確認することが大切です。しかし、サーバーをアップデートしたということでもなく、また、同じサーバーを使う他のユーザーから不具合の報告がないという場合には、Dos攻撃またはDDos攻撃を疑ってみましょう。

Dos攻撃とDDos攻撃はどちらもサイトやサーバーに異常な負荷をかけるという手法ですが、この2つには微妙な違いがあります。Dos攻撃は大量のデータをサイトやサーバーに送り続けるもので、比較的単純な手法ではF5アタックが有名です。F5アタックとはF5キーを連打することでページ更新の要求を続け、その結果としてサイトやサーバーに負荷がかかります。DDos攻撃もDos攻撃に変わりはありませんが、こちらは複数のパソコンから攻撃を行うもので負荷がさらにかかることになります。DDos攻撃の場合はマルウェアを使って違うIPから攻撃をするため、より高度といっていいでしょう。サイトが重くなる、または反応しなくなるようなときは、Dos攻撃やDDos攻撃を疑った方がいいかもしれません。

自分ではなかなか気づきにくいサイバー攻撃の一つに不正なリンク設定があります。この場合のリンク先とはスパムサイトが多く、サイトを訪問したユーザーが気づかずにクリックすれば何らかの被害を受けることも出てくるでしょう。知らないリンク先が設定されているということは、ハッキングされているということです。ただし、一つのサイトを複数の担当者で管理している場合には他の担当者が設定した可能性もあります。自分以外にもサイト管理を行っている人がいる場合はまず確認し、誰も覚えがないようであればハッキングされていると考えることができます。リンク設定がされている場合、リンク先を外しておくだけで解決とはいえません。この場合で怖いのはバックドアが設定されていることです。バックドアとは、通常とは違う経路でサイトに侵入できる接続経路のことで、一度侵入された場合は設定されている可能性が高いといえます。

そして、もっとも気づきにくいのはポップアップ広告の設定です。ポップアップ広告とは、サイトのどこかをクリックしたときにいきなり表示される広告のことで、仕組まれているのは悪質なものがほとんどといっていいでしょう。ポップアップ広告の中で多いものといえば「ウィルスに感染した」という警告をしたあと、ウィルス除去ソフトのダウンロードをすすめるサイトに誘導するというものです。自分のパソコンがウィルスに感染したとなれば慌ててしまう人も多く、誘導されるままダウンロードすればそのまま被害にあうことになります。ウィルス感染を警告する以外には不正請求ページに誘導されるなど、いずれにしても不当に金銭を要求されるものが多いのが特徴です。

例をあげたいずれのケースも、実行されればユーザーに迷惑をかけることになります。Dos攻撃やDDos攻撃の場合はサイト自体が重くなり、また場合にはよっては反応しないこともあるため、ユーザーが離れてしまう可能性が高くなります。ただし、管理者自身が気づきやすい症状でもあるため、解決につなげやすいのが特徴です。しかし、不正リンクやポップアップ広告の設定などがされていると管理者は気づかないことがあります。特にポップアップ広告は管理者がサイトを確認する分には症状として出ることがありません。ポップアップ広告が有効になるのは、検索サイトから訪問したケースが一般的です。そのため、何らかの報告を受けない限り気づかないケースも出てきます。

wordpressをDos攻撃やDDos攻撃から守るには、ピンバック機能をオフにするという方法があります。この方法は自分で簡単にできるので試してみるといいでしょう。ピンバックとは、参考サイトのリンクを貼ることで相手のサイトに通知をする機能のことです。ピンバック機能を使うと、記事の参考にした相手にそれを知らせることもでき、さらにユーザーには参考元のサイトも読んでもらえるというメリットがあります。しかし、サイト間のコミュニケーションが図れるというメリットもある反面、相互リンクによってDDos攻撃の踏み台になりやすいというデメリットも持っています。ピンバック機能をオフにするには、「設定」の「ディスカッション設定」にある「投稿のデフォルト設定」と「自分宛のメール通知」にあるすべてのチェックを外しましょう。

また、サイトに侵入されないために自分でできるセキュリティ対策としては、推測されにくいIDやパスワードを設定しておくことです。パスワードは、できればこまめに変えることが理想的といえます。中には、自分でパスワードを忘れてしまうというケースもありますが、そのときは新しいパスワードを取得すればログインは可能です。IDやパスワードは解析されにくいものを設定し、定期的にパスワードを変更するようにしましょう。

Dos攻撃やDDos攻撃のように、サイトやサーバーに負荷をかけるという手法でアタックを受ける場合は、何らかの嫌がらせを受けていると判断することもできます。この2つは自分でも気づきやすいうえに、前述したようにwordpressの設定から原因を削除することも可能です。しかし、サイトやサーバーに侵入されるケースになると、自分ではなかなか有効なセキュリティ対策をとるのは難しくなります。パスワードをこまめに変えるだけでは足りない部分は出てくるでしょう。

サイトに侵入されてしまうのを防ぐためのセキュリティ対策として、wordpressを更新するのも方法の一つです。wordpressを更新すると、データが壊れたり表示が変わってしまったりなど面倒なことが起こる場合もあります。そのため、つい更新をおろそかにしてしまうケースもみられます。しかし、更新によって脆弱な部分が改善されることが多く、その分狙われるリスクを軽減できるのです。同じように、プラグインを更新することも忘れてはいけません。

wordpressやプラグインの更新でデータや表示に不具合が出たことを想定し、普段からバックアップをとっておくことも重要です。バックアップをとっていれば、万が一ハッキングされてサイトを改ざんされることがあっても、バックアップデータをもとに再構築することもできます。つまり、バックアップをとっておくこともセキュリティ対策の一つといえます。しかし、もっとも望ましいのはwordpressをサイバー攻撃から徹底して守ることです。ユーザーへの被害やサイトの信頼を落とすことを回避するには、常にウィルスなど最新の情報を収集し、さらにサイバー攻撃を可視化できるセキュリティ対策サービスを導入することです。

wordpressが外部からの侵入者によって攻撃を受けているときには、さまざまな症状が表れます。管理者自身が気づきやすい症状もありますが、中には気づかないケースもあるので注意が必要です。wordpressが外部から攻撃を受ければユーザーにも迷惑がかかり、信頼を落としてしまうかもしれません。そうならないためには、万全なセキュリティ対策をとってwordpressをサイバー攻撃から守りましょう。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。