WordPressが不正改ざん！？影響範囲と対策・復旧方法をご紹介!

個人情報の流出

ハッキングを用いた代表的な被害のひとつがユーザーの個人情報の取得になります。

個人情報を取得する方法としては、

• 偽サイトを用意してユーザーに個人情報を入力させる
• ユーザーのデバイスを個人情報を取得するマルウェアに感染させる
• ハッキングの対象サイトが保有している個人情報を不正に取得する

などの方法があります。

ユーザーにも大きな被害が発生する恐れがあるのに加え、場合によっては、後述するような多額の損害賠償が発生する場合もあるため、特に注意が必要です。

ウイルスの拡散

不正改ざんによって、Webサイトがウイルス拡散の足がかりにされてしまうケースです。
ダウンロード機能があるサイトであれば、不正改ざんによってダウンロードURLを変更してウイルスファイルをダウンロードさせたり、ダウンロードされるファイルそのもにウイルスを忍ばせることで、ユーザーのスマホやパソコンをウイルスに感染させることが可能です。

また、サイトが表示される際に読み込まれるファイルの参照先を書き換えることで、サイトを訪問しただけでウイルスに感染させることも可能です。

表示されるコンテンツの改ざん

本来のWebサイトに表示されるコンテンツが不正に変更されてしまいます。
Webサイト上に表示されるテキストが改ざんされたり、全く違う画像を参照するようになっていたり、入れた覚えのないコンテンツが表示されてしまいます。

サイトの見た目や構成が崩れたり、悪意を持って誤った情報を流されれば、ユーザーからの信頼を大きく損なってしまいます。
データベースを使ったサイトの場合、データベースの情報が改ざんされていたり、データベースの参照先自体を変更されてしまうケースもあります。

Googleの検索結果からの除外

Googleでは、危険なWebサイトのブラックリストを作成して随時更新を行っています。

不正改ざんによって危険なWebサイトと見做されて、Googleのブラックリストに入ってしまうと、Googleの検索結果から除外されてしまいます。
特に自然検索をメインの流入源としていたWebサイトにとっては、大きなダメージとなってしまうでしょう。

Webサイトをハッキングから復旧させれば、ブラックリストからの除外を申請すること自体は可能です。
ただ、上位表示されていたサイトが、すぐに元の順位まで戻ることは難しいでしょう。

企業イメージ・信頼の失墜・損害賠償による被害

一度でもハッキングを受けたサイトであると認識されてしまうと、企業イメージは大きく低下し、ユーザーからの信頼も大きく損なわれてしまいます。

特に最近ではネットニュースやSNSによる拡散スピードも早いため、サイト訪問者数やECサイトの売上に深刻な影響を及ぼすでしょう。

さらに、個人情報の漏洩が起きた場合、企業側が基本的なセキュリティ対策を怠っていたと認められれば、巨額の損害賠償を支払いを命じられるケースもあります。
サイトの運営や事業継続にとって、致命的なダメージに繋がるリスクもあるため、事前のセキュリティ対策が重要です。

不正ログイン

不正ログインは、ユーザーID（ユーザー名）やパスワードによる認証を突破することで、WordPressの管理画面やサーバー内に侵入することです。
特に管理者アカウントでの不正ログインを許してしまえば、ファイルやページの削除や新規作成等、深刻な被害につながってしまいます。

不正ログインの手法はいくつかありますが、ユーザー認証を突破する方法として有名なのは以下になります。

• ブルートフォースアタック (総当たり攻撃)
• パスワードリスト攻撃（リスト型攻撃）

クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング(XSS)とは、プログラムの脆弱性を狙ったサイバー攻撃の一種です。
クロスサイトスクリプティングは以下の流れで実行されます。

1. 脆弱性のあるユーザーからの入力機能のあるWebアプリケーション（掲示板・SNS等）に罠（悪意のあるスクリプト）を仕掛けます。
2. 掲示板に書き込むためのボタンなどのリンクをクリックするなどして、ユーザーが罠にはまると悪意のあるスクリプトが実行されます。
3. スクリプトによって、ユーザーが本来のサイトとは違う偽サイトに飛ばされます。（クロスサイト）
4. ユーザーに個人情報の入力を促して情報を奪ったり、ユーザーのデバイスにマルウェアを送りこまれるなどの被害を受ける。

このようにサイトを横断してスクリプトによる攻撃を行うことから、「クロスサイトスクリプティング」と呼ばれています。
知識がない方にとっては経路が複雑でイメージを掴むのが難しいので、もっと詳しく知りたい方は以下の記事も参考にしてください。

参考記事：WordPressでも起きている！クロスサイトスクリプティングとは？

SQLインジェクション

SQLインジェクションは、データベースを操作する際に用いられるSQLというプログラミング言語を利用したサイバー攻撃です。
不正なSQL文を入力することでデータベースの内容やサイトを改ざんすることができます。

基本的に、Webサイトの訪問者である一般ユーザーはデータベースを操作する権限を持っていません。
しかし、問い合わせフォーム等のWebアプリケーションにSQLインジェクションへの脆弱性がある場合、一般ユーザーでもデータベースを操作することが可能となってしまいます。

データベース内に個人情報が保存されていれば、個人情報漏洩にも繋がるため、危険度の高いサイバー攻撃と言えます。

さらに詳しく知りたい方はこちらの記事も参考にしてみてください。
SQLインジェクションとは？被害事例と対策方法5つ！

WordPress・テーマ・プラグインを最新の状態にする

一番基本となる対策方法です。
お使いになっている、WordPress・テーマ・プラグインを全て最新の状態に保つようにしてください。

それぞれのアップデートには、機能の追加や不具合の解消だけでなく、確認された脆弱性への対策が含まれます。
最新の状態に保っておけば、基本的に既知の脆弱性に対しては対策された状態を維持することができます。

逆に言えば、脆弱性が明らかになっているバージョンを使用し続ければ、ハッカーにとっては良い標的となってしまいます。

アップデート内容については、wordpress.orgのサイト等で、テーマやプラグインについては各公式サイト等で詳細が発表されていますので、気になる方は事前に確認しておくと良いでしょう。

また、アップデートする際には、必ずサイトのバックアップを取得しておきましょう。
サーバーのPHPバージョンと合わなくなったり、古いプラグインが動かなくなったり等、不具合が発生する場合があります。

企業等で毎回のバージョンアップにリソースが割けないという場合には、『WordPress保守サービス』に依頼して、プロに丸投げしてしまうのも良いでしょう。

ユーザー名パスワードを厳重にする

ユーザー名やパスワードについては、最も簡単に出来るセキュリティ対策のひとつです。

アクセス権限

少し知識が必要になりますが、特定のIPアドレスからのみアクセスを許可したり、国外からのアクセスを拒否することができます。
特定のページやディレクトリのみにアクセス制限をかけることができますので、WordPressのログインページや管理画面にアクセス制限をかけることで、セキュリティを強化することができます。

アクセス制限をかける方法は「.htaccess」ファイルを編集したり、各レンタルサーバーの管理画面で設定を行うなど、いくつか方法があります。
参考記事を挙げておきますので、参考にしてみてください。

外部参考記事：WordPress管理画面にIPアドレス制限をかける方法(.htaccess)
外部参考記事：Xserverでアクセス制限を行う
外部参考記事：ロリポップレンタルサーバーでアクセス制限を行う

PCにもセキュリティ対策を

PCにもウイルスは感染します。
PCからの流入もありえますので、対策しておくことでPCも安全に保つことができますしWebサイトへの流入も防ぐことが可能です。

PC版のセキュリティ対策ソフトは様々ありますので、検討してみてはいかがでしょうか。

無料のセキュリティソフト
アバスト

Avira