WordPressサイトが改ざん?!過去に起こった事例と対策・復旧方法をご紹介!

WordPressサイトが改ざん?!過去に起こった事例と対策・復旧方法をご紹介!
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

過去に大きな改ざん被害があったWordPress。
それ以降大きな被害は起きていないものの、個人単位で改ざん被害にあっている方もいらっしゃるのではないでしょうか。

今回は、WordPressサイトが改ざんされた事例とその対策・復旧方法をご紹介していきます。

弊社では、WordPressの保守やセキュリティ対策を行なっておりますので、対策することが難しい方は、是非ご相談ください。
WordPressの保守・セキュリティ対策をお考えの方はこちら

Webサイトが改ざんされるとどうなるのか

Webサイトが改ざんされてしまった場合の影響や被害をみていきましょう。

  • 別サイトへのリンク埋め込み
  • ウイルスの拡散
  • ブラックリスト追加
  • 企業イメージや信頼の損失

上記について以下説明していきます。

別サイトへのリンク埋め込み

Webサイトには必ずしも、リンクが掲載されているということがあるわけではありませんが、掲載されているリンクの書き換えやサイトにリンクを追加されてしまう改ざんがあります。

訪れたユーザーが改ざんされた悪意あるリンクを踏んでしまった場合、偽サイトと知らず謝って情報を入力してしまったり、詐欺被害などが考えられますので、注意が必要です。

リンクが残っている場合、訪れる多くのユーザーに対して偽サイトへの誘導や被害拡散につながってしまいます。

ウイルスの拡散

サイトを訪問したユーザーに対してウイルスを感染させてしまう可能性が出てきます。

悪質なコードを格納されるような改ざんがあった場合に、閲覧したユーザーを感染させてしまいます。

コードが追加されているだけだと、ユーザーからはどのようにWebサイトが動いているか認識することは不可能です。
バックアップや個人でWebサイトの書き換えなど行なっていない管理者であれば、より気付くことは難しいでしょう。

閲覧者が多ければ多いほどウイルスの感染範囲は拡大し、情報の漏洩に繋がってしまいます。

ブラックリスト追加

管理しているサイトが、ブラックリストに追加されてしまう事例です。
改ざんされた状態を放置しているとGoogleからの評価は下がってしまうどころか、悪意あるサイトと認識されブラックリストに追加されてしまう可能性があります。

ブラックリストに追加された場合、復旧作業を行なっても上位表示されることは難しいでしょう。

企業イメージ・信頼の損失

企業サイトやECサイトなどが改ざんされてしまった場合には、企業イメージの損失や信頼の損失が起きてしまいます。

会社情報や製品情報など書き換えられてしまってはどういった会社かわからなくなってしまうだけでなく、改ざんのされ方によっては信頼を大きく失ってしまいます。

また、情報漏洩に繋がってしまう可能性も含んでいますので、セキュリティ対策は非常に重要であると言えます。

WordPressの改ざん事例

2017年にWordPressを利用しているサイト150万件以上が改ざん被害にあうという事例が起こりました。

REST APIを悪用し、遠隔でサイトの改ざんを行うという攻撃が行われました。
認証を受けていないユーザーであっても、改ざんすることが可能となってしまい大きな脆弱性被害につながりました。

近年ではこれほど大きな事例は稀ですが、起こり得るということが証明されています。

参考:IPA 情報処理推進機構 WordPressの脆弱性対策について

WordPress以外にも改ざんの被害は多くあり、「CMSだから」「オープンソースソフトウェアだから」ということ関係なく起こりえますので、対策を行なっていくことが非常に重要です。

WordPress改ざんの手口

WordPress改ざんの手口は以下のようなものがあります。

  • 不正ログイン
  • クロスサイトスクリプティング
  • SQLインジェクション

各項目について説明していきます。

不正ログイン

不正ログインは、主にブルートフォースアタック (総当たり攻撃)によって可能となってしまいます。
簡単なユーザー名やパスワードでは攻撃者は侵入も容易となってしまい、サイトを自由にいじることができてしまいます。

WordPressの管理画面だけでなく、FTPやデータベース、サーバー管理画面までに及んでしまった場合には、改ざん規模も大きくなってしまいますし、改ざんだけではなく情報漏洩にも繋がる恐れがあります。

クロスサイトスクリプティング

サイトの脆弱性を狙ったサイバー攻撃の一種です。
クロスサイトスクリプティング(XSS)とは、サイトの脆弱性を利用し悪意あるスクリプトを仕掛けることで管理者やサイトの訪問者に対して被害をもたらす、サイバー攻撃の中でも有名な攻撃です。

詳しくはWordPressでも起きている!クロスサイトスクリプティングとは?をご覧ください。

SQLインジェクション

SQLインジェクションは、データベースとのやりとりに使われるSQL文を注入されることで起こる脆弱性被害です。

不正なSQL文を入力することでデータベースの内容やサイトをかいざんすることができます。

Webアプリケーションはサーバーを介しリクエストに応じテータベースから情報を取ってくるといったことを行なっています。

しかし、Webアプリケーションやサーバー側の処理に脆弱性がある場合、不正なSQL文であっても正しいものとして読み取ってしまい、改ざんや情報漏洩が起きてしまう状態が起こります。

データベースに不正なデータを格納されてしまうと気付くまでは永久的に動き続けてしまうので注意が必要です。

もしも改ざんされてしまったら

もしも改ざんされてしまったら、焦らず冷静に対処するよう心がけましょう。

まず行わなければいけないのは、どのような改ざんが行われているか確認し被害の拡大を最小限にすることです。

どのような改ざんされていることがわかったら、その周辺のコードやファイルについて削除を行えば良いので明確です。
バックドアが仕掛けられてしまっている場合は、最新の状態にアップデートしたりセキュリティソフトを入れたりする必要があり、数日は監視が必要です。
最新の状態にしてもなお改ざんが続く場合は、バックドアが仕掛けられている可能性が高いでしょう。

また「改ざん被害にあったような気がする…」といった曖昧な状態であれば、以前のバックアップしたファイルとの差分があるか確認するか、セキュリティソフトを導入して確認することで、検出できる場合があります。

ハッキングにあったか見極めることができない場合は、あなたのWordPressがハッキングされた時の12の兆候で確認してみましょう。

自分で見つけることが難しい場合は、セキュリティに詳しい専門家へ依頼することも可能ですので、ご検討ください。
WordPressセキュリティ対策を依頼する

改ざん後の復旧方法

改ざんされてしまった後の復旧は、改ざんされる前のバックアップがある場合は元の状態に戻すこと可能ですが、そうでない場合は完全にもとに戻すのは難しいです。

自分で定期的にバックアップを行なっていなかったとしても、レンタルしているサーバーが定期的にバックアップを取っている場合もあります。
改ざんされてしまったサイトとバックアップのファイルを比較し、改ざんされた時期よりも前のものかどうか確認しましょう。

バックアップが全くない場合は、改ざんされている部分を見つけ摘出したあと必要なバックアップを行い、対策しましょう。

ハッキングから自力復旧!WordPressサイトを正常に戻す手順を解説

改ざんを未然に防ぐには

WordPressの改ざんを未然に防ぐには、次のような方法があります。

  • 各種ツールを最新の状態にする
  • ユーザー名パスワードを厳重にする
  • アクセス権限を行う
  • パーミッションを設定する
  • Google Search Consoleを導入する
  • PCにもセキュリティ対策を

上記について以下で説明していきます。

各種ツールを最新の状態にする

一番簡単な対策方法です。
お使いになっている、WordPress・テーマ・プラグインを全て最新の状態に保つようにしてください。

古いままでは、過去のバージョンで脆弱性を発見されてしまった場合に改ざんされてしまう原因となってしまいます。
改ざんだけではなく、情報漏洩など他にも様々なサイバー攻撃が発生してしまう可能性がありますので、注意が必要です。

WordPressのマイナーアップデートは、セキュリティのアップデートが含まれていますので、です。
最新の状態にしておくことで、脆弱性の発見を防ぐことができます。

アップデートする際は、バックアップを取ってから行うようにすることでレイアウト崩れやテーマ・プラグインの設定など残しておくことができますので、元のように復元することが可能です。

ユーザー名パスワードを厳重にする

ユーザー名やパスワードを使いまわしている方がまだ多くいらっしゃるようです。

そのような場合を他のサイトでも続けてしまっていると、WordPressの改ざんだけでなく他のサービスも乗っ取られてしまう可能性がありますので、注意が必要です。

今では、パスワードマネージャーやパスワード生成ツールがありますので活用してみてください。

また、文字数や記号の使用の有無でパスワード解読時間も変わってきますので以下を参考にしてみてください。
ブルートフォースアタック(総当たり攻撃)解読時間

アクセス権限

.htaccessのファイルを変更することで、特定のIPアドレスからのみアクセスを許可したり、国外からのアクセスを拒否することも可能です。

限られた場所からのアクセスに制限することで、攻撃される可能性を低くすることができます。

参考:WordPress codex 日本語版 htaccess

以下に代表的なレンタルサーバーを例にあげてみました。
レンタルサーバーでアクセス制限を行う場合は参考にしてみてください。

Xserverでアクセス制限を行う

ロリポップレンタルサーバーでアクセス制限を行う

ファイルごとにパーミッションを設定する

ファイルごとに、パーミッション(権限)を与えることで、悪質な編集や勝手な編集を防ぐことができます。

htaccessやwp-configなどは、アクセスやwebサイト構築の基礎となるファイルですので、管理には十分注意が必要です。
以下htaccessとwp-configの権限について解説していきます。

htaccessは604か644

htaccessはBasic認証やリダイレクト・特定のドメインからのアクセス制限など行うことができる重要なファイルです。

htaccessは「604」か「644」が推奨されています。

他者に書き換えられるとよくないので「604」に設定しておくことがよいでしょう。
レンタルサーバーを借りている場合などは、読み取ってもらえないとサイトの遷移やエラーページを表示することができなくなってしまいます。

しかし、WordPress.orgでは「644」が推奨設定と書かれており、 サーバーやプロバイダもこの設定を推奨している場合もあります。

お使いのレンタルサーバーなど推奨設定を確認してから変更を行うようにするとよいでしょう。

wp-configは400か600

wpconfigはサイトの基礎となる情報やデータベースへの接続情報などが書かれているため、WordPressでサイトを運営していく上でもっとも重要です。

wpconfigの設定は、ユーザーのみが権限を持っている状態にしましょう。
「400」であればユーザーのみの読み取りですし、「600」であれば、ユーザーの読み書きになります。

重要な情報が書かれているだけあって、他人に読み取られることすらよくないので管理は非常に重要です。

参考:WordPress codex WordPressの安全性を高める

ファイルパーミッションの変更

Google Search Consoleを導入する

Google Search Consoleを導入することで、ハッキングされGoogleが検知した場合に通知が届きます。

通知が来る頃には、すでにハッキングされておりGoogleから対策を要求されていることになります。
しかし、通知が来なければGoogleの検索エンジンからはブラックリストへ登録されてしまいかねませんのですぐに対策に移りましょう。

Google Search Consoleはこちら

PCにもセキュリティ対策を

PCにもウイルスは感染します。
PCからの流入もありえますので、対策しておくことでPCも安全に保つことができますしWebサイトへの流入も防ぐことが可能です。

PC版のセキュリティ対策ソフトは様々ありますので、検討してみてはいかがでしょうか。

無料のセキュリティソフト
アバスト

Avira

WordPressはセキュリティ対策が重要

いかがだったでしょうか。
近年大きな改ざん被害は起きていませんが、小規模な改ざん被害は報告されています。
参考:WordPress フォーラムでのバグ報告と提案

各々が管理者であるという意識を持つことで、脆弱性による被害は減っていくはずです。
サイバー被害が0になることはありませんが、0に近くすることは可能ですので、万全なセキュリティ対策を行なっていきましょう。

セキュリティについて対策することが難しいとお考えの方は、WordPress・セキュリティのプロに依頼することも可能ですのでご検討ください。
WordPressのセキュリティ対策をプロに依頼する

土井純也

土井 純也 Twitterアイコン Facebookアイコン

WordPressスペシャリスト・エンジニア
株式会社プレートテクノロジー 取締役
1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.supportを "いいね!"
Facebookで更新情報をお届け。

WordPressの保守・セキュリティ対策なら「wp.support」

WordPressのプロによる保守サービス

ワードプレスのバージョンアップセキュリティ対策
お悩みではないですか?
「何かが起きる前に!」
WordPressのプロフェッショナル集団が対応します。
サーバー保守にも対応。月額4万円〜
SSL対応、定期バックアップもお任せ下さい。