wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

基礎知識 2022.12.07

WordPressの脆弱性一覧!代表例と脆弱性を狙った攻撃を回避する方法

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

WordPressは圧倒的なシェアを誇っており、日本でも非常に多く使用されているCMSです。使いやすいことから多くの企業で使用されているものの、使用するにあたってセキュリティ面の不安を感じている方もいることでしょう。

本記事では、WordPressの脆弱性と脆弱性によって考えられる攻撃を解説するとともに、脆弱性を改善するための方法もご紹介します。

WordPressを現在進行形で運用している方や、運用にあたって不安に感じている方は、ぜひ参考にしてください。

WordPressの脆弱性とは?

WordPressの脆弱性とは、WordPressのシステム内にあるセキュリティ上の欠陥全般のことであり、バグやエラーなどが脆弱性に該当します。

バグやエラーがあると、それらを狙ってハッカーに攻撃されてしまい、Webサイトが正常に使用できなくなったり、Webサイトに訪れたユーザーに被害を与えるプログラムを埋めこまれたりする危険性があります。

そのため、WordPressに脆弱性がある場合はいち早く改善することが、攻撃を防ぐために非常に大切な要素になるのです。

WordPressに脆弱性はあるのか

結論から申し上げると、WordPressはセキュリティ性の高いCMSであり、安全に運用しやすく作られています。

しかし、下記3つの脆弱性のリスクがはらんでいるため、これらのリスクを把握しておくことが大切です。

  • オープンソースであるためソースコードが公開されている
  • 世界中で最も利用されているため被害事例が多い
  • WordPress利用者の中には初心者も多い

それぞれ順番に解説します。

オープンソースであるためソースコードが公開されている

WordPressはオープンソースのCMSであるため、システム全体のソースコードが公開されています。ソースコードが公開されていることで、世界中のユーザーが便利なプラグインを開発できたり、有志のエンジニアがWordPressそのものの開発に参加できたりするメリットがあります。

しかし、誰でもソースコードを確認できることの裏返しとして、悪意のあるユーザーがWordPressのソースコードをすべて確認できてしまうことも事実です。

ソースコードから脆弱性を見出したり、セキュリティ面で弱い部分を発見したりして、そこを突いた攻撃が可能になります。

世界中で最も利用されているため被害事例が多い

WordPressは、CMSの中でも圧倒的なシェア率を誇っているため、他のCMSの追随を許さないほどのユーザーが世界中にいます。

そのため、全ユーザーのうち攻撃被害を受けた割合が少ないものの、被害事例が多く見られます。

悪意のある攻撃を行うハッカー目線で考えると、たとえWordPressがセキュリティ面で優秀なCMSであることを考えても、WordPressを攻撃対象としたほうがより多くのWebサイトを攻撃できるため効率が良いのです。

全ユーザーのうち、攻撃被害を受けたユーザーの割合は少ないため、安全なCMSであると言えるでしょう。

WordPress利用者の中には初心者も多い

WordPressは非常に簡単にWebサイトを構築できるCMSであることから、知識が乏しい初心者の方も多く利用しています。

初心者の方が、WordPressをセキュリティ面を担保しながら運用することは非常に難しく、多くの場合で脆弱性が見られます。

その初心者が運用しているWordPressの脆弱性を狙って、攻撃が行われるケースが非常に多いのです。

WordPressの脆弱性に対する攻撃事例

WordPressの脆弱性を突いた攻撃には数多くの種類がありますが、特に下記の3つの攻撃被害が多く見られます。

  • SQLインジェクション攻撃
  • DDoS攻撃
  • クロスサイトスクリプティング(XSXS)

SQLインジェクション攻撃

SQLインジェクション攻撃とは、簡単に言うとサーバーに渡される文字列に、有害なSQL文を注入する攻撃のことです。SQLインジェクション攻撃が行われると、データベース内にあるWebサイトユーザーの個人情報等を見られることはもちろんのこと、それらを抜き取られ、流出される可能性もあります。。

情報漏洩以外にも、データベースが改ざんされることもあり、Webサイト運用の妨げになってしまうため、大きな損害を被る可能性のある攻撃の一つと言えます。

DDoS攻撃

DDos攻撃とは、攻撃対象となるWebサイトやサーバーに対して異常なほどの負荷を与えることで、Webサイトの挙動を重くしたり、最終的にはサーバーをダウンさせたりする攻撃のことです。

DDos攻撃は、複数のデバイスから攻撃を行うことによって、非常に大きな負荷がWebサイトにかかる上に、マルウェアを用いて異なるIPアドレスから攻撃を行うことから、非常に高度な攻撃であると言えます。

Webサイトの挙動が極端に重くなったり、開かなくなったりした場合は、DDos攻撃を受けている可能性を視野に入れつつ、原因究明と改善を行うべきでしょう。

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)とは、Webサイト内に悪意のあるスクリプトなどを仕掛け、サイト管理者やユーザーに対して被害を与える攻撃のことです。

クロスサイトスクリプティングを行われてしまうと、ユーザーが悪意のあるWebサイトへリダイレクトを行われてしまったり、サイト管理者がWebサイトの管理画面に入れなくなったりする恐れがあります。

実装した覚えのないスクリプトが埋め込まれている場合や、外部リンクが貼られている際は、クロスサイトスクリプティングの攻撃が行われていることを疑うべきと言えるでしょう。

WordPressの脆弱性を狙った攻撃を回避するには

WordPressの脆弱性を狙った攻撃を回避するには、下記の6つの施策を打つことが効果的です。

  • WordPress本体を最新の状態に保つ
  • プラグインやテーマも随時更新する
  • 不要なプラグインやテーマは削除する
  • adminからユーザー名を変更する
  • プラグイン「SiteGuard WP」を入れる
  • プラグイン「Wordfence Security」を入れる

それぞれ順番に解説します。

WordPress本体を最新の状態に保つ

先述した通り、WordPressのバージョンが古いままだと、バージョンアップ前の脆弱性が残っている可能性が非常に高いです。ハッカーはバージョンアップを行う前の脆弱性を突いた攻撃を行うケースが非常に多いため、古いバージョンで放置することは、非常に危険であると言えるでしょう。

WordPressのセキュリティ性を確実に得るためにも、必ず最新版のWordPressを利用してWebサイトの運用を行いましょう。

プラグインやテーマも随時更新する

最新版に保っておくべきものは、WordPress本体だけではありません。同様にプラグインやテーマも定期的に脆弱性を改善するためのアップデートが実施されているため、それらのアップデートも行うようにしましょう。

プラグインやテーマの脆弱性を突いた攻撃事例も多く見られているため、忘れずにバージョンアップを行うことが大切です。

また、アップデートが数年に渡って行われていないテーマやプラグインは、脆弱性が生まれている可能性が高いため、使用しないようにしましょう。

不要なプラグインやテーマは削除する

プラグインやテーマが原因のハッキングの中には、不要になってWordPress内に放置していたプラグインやテーマが脆弱性の原因となっていたものもあります。

そのため、不要になって使わないプラグインやテーマは削除しておくようにしましょう。

adminからユーザー名を変更する

数年前のWordPressでは、管理画面に入るために必要なユーザー名はデフォルトで「admin」と設定されていました。その慣習から、ユーザー名を「admin」にする方も大勢見られますが、ユーザー名を「admin」にすることは非常に危険です。

なぜなら、ハッカー目線では安直にユーザー名を「admin」にするようなユーザーを標的にしたほうが攻撃が成功しやすいことから、攻撃を受ける可能性が非常に高まってしまうからです。

ハッカー目線からすると、ユーザー名が分かっているため管理画面に入るための労力が非常に少なくなることから、非常に狙われやすいWebサイトとなってしまいます。

WordPressを使用する際は、必ずユーザー名を任意のものに変更してから運用を行うようにしましょう。

プラグイン「SiteGuard WP」を入れる

WordPressのセキュリティ性を高める方法の一つに、セキュリティ性能を向上させるプラグインを入れるという手段があります。

プラグインの中でも、「SiteGuard WP」はセキュリティ性能を高めるのに非常に有効なプラグインの一つです。

WordPressのログインURLを変更したり、ログインできるIPアドレスの制限をかけられたりといった、不正に管理画面にアクセスされることを防ぐ機能が備わっています。

WordPressに対する攻撃の中でも、不正ログインによるものは非常に多いです。「SiteGuard WP」を活用することで、外部からの不正ログインを防げることから、セキュリティ性能を大幅に高めることが期待できるでしょう。

プラグイン「Wordfence Security」を入れる

セキュリティ性能を高めるためのプラグインとして、「SiteGuard WP」よりもより高いセキュリティ性能を求める際は、「Wordfence Security」がおすすめです。

「Wordfence Security」を入れることで、簡単にreCaptchaの導入を行えたり、ログイン試行回数の制限を設けられたりするため、総当たりによる不正ログインを防ぐことが可能です。

そのほかにも、ファイアウォールの導入やアクセス監視・制限が行えるため、総合的にWordPressのセキュリティを強化できるでしょう。

セキュリティ対策のされているサーバーを利用することも重要

セキュリティ対策を行う際は、WordPressにのみ着目するのではなくサーバーに対してもセキュリティ対策を行うことが大切です。

サーバーによっては、Webの改ざんが行われた際に通知が送られてくるものや、国外IPアクセス制限を設定できるものなど、標準的にセキュリティ対策が取られているものが多くあります。

当然ながら、サーバーで導入されているセキュリティ対策だけで、完全なセキュリティ対策を行えるというわけではないものの、手軽にセキュリティ性能を高めることは可能です。

特に初心者の方は、セキュリティ性能が高いサーバーを選ぶことを推奨します。                                 

SSLも必ず導入することを検討

SSLとは、データの送受信を行う際にデータを暗号化する技術のことです。SSL化しなければ、データの送信途中で悪意のあるユーザーにデータを書き換えられてしまったり、通信データの盗難によって、個人情報が漏洩するリスクもあります。

SSL化は、多くのサーバーで簡単に無料で行えることが多いため、サーバーの契約を行ったら必ず実行するようにしましょう。

WordPressの脆弱性で不安な方はご相談ください

上記で解説した方法をすべて行えば、基本的なWordPressのセキュリティ対策を行うことは十分に可能です。その一方で、個人情報を多く扱う企業等では、より強固なセキュリティ対策を行いたいと考えているのではないでしょうか。

弊社e2eでは、無料でWordPressの状況調査をしております。状況調査によってそのWordPressの脆弱性や不安な点がわかることも多くあるため、不安な方はぜひ状況調査をご活用ください。

WordPressのセキュリティ対策ならwp.rescue

まとめ

本記事では、WordPressの脆弱性の原因となる要素とそれらの改善方法、脆弱性を突いた攻撃の一例について解説しました。

WordPressはセキュリティの観点から非常に優秀なCMSであるものの、適切な運用を行わなければ攻撃を受ける可能性は十分にあります。そのため、本記事で紹介したことを実践し、安全なWordPress運用に努めてください。

バージョンアップが面倒だと思ったら、WordPress保守サービス『wp.support』

wp.support

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

詳しくは以下よりお問い合わせください!

『wp.support』についてもっと詳しく