WordPressが不正改ざん!?影響範囲と対策・復旧方法をご紹介!

WordPressサイトが改ざん?!過去に起こった事例と対策・復旧方法をご紹介!
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

不正改ざんとは、サーバー内のファイルやデータベースを勝手に書き換えてしまうサイバー攻撃です。

総当たり攻撃等によってユーザー認証を突破して直接ファイルを書き換えるケースもあれば、SQLインジェクションの脆弱性を利用してデータベースを直接書き換えるケースなど、その手口は様々です。

特にWordPressにおいては、脆弱性のある古いバージョンのWordPressやプラグイン使用していたり、個人開発の脆弱性の検証が不十分なプラグインを使用していたりすることから、不正改ざんに繋がるケースもあります。

今回は、WordPressサイトが不正改ざんの被害や手口、不正改ざんを防ぐ方法について詳しくご紹介していきます。
不正改ざんやセキュリティ対策に関する正しい知識をつけて、あなたのサイトを守りましょう。

もし、「現在進行形で不正改ざんを受けてしまっている」「不正改ざんを受けた可能性があって不安」という方は、弊社でハッキングからの復旧対応を行なっておりますので、ぜひこちらからご相談ください。
ハッキング被害・サイト復旧のご相談はこちら

不正改ざんを行うハッカーの目的とは?

不正改ざんに限らず、ハッカーがハッキングを行う主な目的のひとつが個人情報の収集です。
クレジットカード情報が入手できれば不正使用でネットショッピングも出来ますし、氏名や住所といった情報だけでも十分な『商品』となります。

上記も含め、大きくは以下の5つが挙げられます。

  • 個人情報の収集
  • クレジットカード情報の収集
  • 特定のサイトへの嫌がらせ
  • 企業や政府機関等が持つ機密情報の奪取
  • 自己顕示欲や知的好奇心を満たすため

ハッカーの目的や心理については、以下の記事で解説していますので、さらに詳しく知りたい方は参考にしてみてください。
ハッカーの目的と心理を解説!ハッカー視点からのセキュリティ対策を

Webサイトの不正改ざんによる被害とは?

続いて、Webサイトが不正改ざんされた場合の被害について見ていきましょう。
Webサイトが不正改ざんされるということは、ハッカーにとってかなり自由度の高い状態であり、深刻な被害を受けるケースも少なくありません。

代表的なものとしては、以下の4つが挙げられます。

  • 個人情報の流出
  • ウイルスの拡散
  • コンテンツ・データベースの改ざん
  • Googleの検索結果からの除外
  • 企業イメージや信頼の失墜

それぞれについて、詳しく解説していきます。

個人情報の流出

ハッキングを用いた代表的な被害のひとつがユーザーの個人情報の取得になります。

個人情報を取得する方法としては、

  • 偽サイトを用意してユーザーに個人情報を入力させる
  • ユーザーのデバイスを個人情報を取得するマルウェアに感染させる
  • ハッキングの対象サイトが保有している個人情報を不正に取得する

などの方法があります。

ユーザーにも大きな被害が発生する恐れがあるのに加え、場合によっては、後述するような多額の損害賠償が発生する場合もあるため、特に注意が必要です。

ウイルスの拡散

不正改ざんによって、Webサイトがウイルス拡散の足がかりにされてしまうケースです。
ダウンロード機能があるサイトであれば、不正改ざんによってダウンロードURLを変更してウイルスファイルをダウンロードさせたり、ダウンロードされるファイルそのもにウイルスを忍ばせることで、ユーザーのスマホやパソコンをウイルスに感染させることが可能です。

また、サイトが表示される際に読み込まれるファイルの参照先を書き換えることで、サイトを訪問しただけでウイルスに感染させることも可能です。

表示されるコンテンツの改ざん

本来のWebサイトに表示されるコンテンツが不正に変更されてしまいます。
Webサイト上に表示されるテキストが改ざんされたり、全く違う画像を参照するようになっていたり、入れた覚えのないコンテンツが表示されてしまいます。

サイトの見た目や構成が崩れたり、悪意を持って誤った情報を流されれば、ユーザーからの信頼を大きく損なってしまいます。
データベースを使ったサイトの場合、データベースの情報が改ざんされていたり、データベースの参照先自体を変更されてしまうケースもあります。

Googleの検索結果からの除外

Googleでは、危険なWebサイトのブラックリストを作成して随時更新を行っています。

不正改ざんによって危険なWebサイトと見做されて、Googleのブラックリストに入ってしまうと、Googleの検索結果から除外されてしまいます。
特に自然検索をメインの流入源としていたWebサイトにとっては、大きなダメージとなってしまうでしょう。

Webサイトをハッキングから復旧させれば、ブラックリストからの除外を申請すること自体は可能です。
ただ、上位表示されていたサイトが、すぐに元の順位まで戻ることは難しいでしょう。

企業イメージ・信頼の失墜・損害賠償による被害

一度でもハッキングを受けたサイトであると認識されてしまうと、企業イメージは大きく低下し、ユーザーからの信頼も大きく損なわれてしまいます。

特に最近ではネットニュースやSNSによる拡散スピードも早いため、サイト訪問者数やECサイトの売上に深刻な影響を及ぼすでしょう。

さらに、個人情報の漏洩が起きた場合、企業側が基本的なセキュリティ対策を怠っていたと認められれば、巨額の損害賠償を支払いを命じられるケースもあります。
サイトの運営や事業継続にとって、致命的なダメージに繋がるリスクもあるため、事前のセキュリティ対策が重要です。

WordPressの不正改ざんの手口

ここからは特にWordPressにおける不正改ざんの手口について解説していきます。
代表的なものとしては、以下の3つが挙げられます。

  • 不正ログイン
  • クロスサイトスクリプティング
  • SQLインジェクション

各項目について説明していきます。

不正ログイン

不正ログインは、ユーザーID(ユーザー名)やパスワードによる認証を突破することで、WordPressの管理画面やサーバー内に侵入することです。
特に管理者アカウントでの不正ログインを許してしまえば、ファイルやページの削除や新規作成等、深刻な被害につながってしまいます。

不正ログインの手法はいくつかありますが、ユーザー認証を突破する方法として有名なのは以下になります。

  • ブルートフォースアタック (総当たり攻撃)
  • パスワードリスト攻撃(リスト型攻撃)

ブルートフォースアタック (総当たり攻撃)

ブルートフォースアタックは、その名の通り、とにかく全ての文字列の組み合わせを試すという攻撃手法です。
一見、遠回りで時間がかかりそうに思えますが、アルファベットのみの短いパスワードなどは簡単に突破されてしまいます。

Webサイト側で対策されていなければ確実性が高いことに加え、攻撃自体が自動化されている場合も多く、今でもメジャーな攻撃方法のひとつとなっています。
ただし、大量にログインを試行したログが残るため、攻撃に気付きやすく対策自体も難しくありません。
後述する基本的なセキュリティ対策をしっかりと行っていれば、それほど恐れる必要はない攻撃と言えるでしょう。

ブルートフォースアタックの詳細と対策方法について詳しくはこちら
ブルートフォースアタックとは?今のままでは危険、攻撃方法と対策をご紹介

パスワードリスト攻撃(リスト型攻撃)

パスワードリスト攻撃とは、あらかじめリスト化されたよく使用されるIDやパスワードのリストを用いて不正アクセスを試みる方法です。
例えば、イギリスのNCSC(国家サイバーセキュリティセンター)によれば、最もハッキングされた回数の多い脆弱なパスワードは「123456」だったと発表しています。

他にも「qwerty(キーボードを左から押したもの)」「iloveyou」「monkey」「pokemon」など、わかりやすいキーワードは非常に危険です。
パスワードには意味のある単語等は避け、記号や英数字を混ぜた複雑なものにするようにしましょう。

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)とは、プログラムの脆弱性を狙ったサイバー攻撃の一種です。
クロスサイトスクリプティングは以下の流れで実行されます。

  1. 脆弱性のあるユーザーからの入力機能のあるWebアプリケーション(掲示板・SNS等)に罠(悪意のあるスクリプト)を仕掛けます。
  2. 掲示板に書き込むためのボタンなどのリンクをクリックするなどして、ユーザーが罠にはまると悪意のあるスクリプトが実行されます。
  3. スクリプトによって、ユーザーが本来のサイトとは違う偽サイトに飛ばされます。(クロスサイト)
  4. ユーザーに個人情報の入力を促して情報を奪ったり、ユーザーのデバイスにマルウェアを送りこまれるなどの被害を受ける。

このようにサイトを横断してスクリプトによる攻撃を行うことから、「クロスサイトスクリプティング」と呼ばれています。
知識がない方にとっては経路が複雑でイメージを掴むのが難しいので、もっと詳しく知りたい方は以下の記事も参考にしてください。

参考記事:WordPressでも起きている!クロスサイトスクリプティングとは?

SQLインジェクション

SQLインジェクションは、データベースを操作する際に用いられるSQLというプログラミング言語を利用したサイバー攻撃です。
不正なSQL文を入力することでデータベースの内容やサイトを改ざんすることができます。

基本的に、Webサイトの訪問者である一般ユーザーはデータベースを操作する権限を持っていません。
しかし、問い合わせフォーム等のWebアプリケーションにSQLインジェクションへの脆弱性がある場合、一般ユーザーでもデータベースを操作することが可能となってしまいます。

データベース内に個人情報が保存されていれば、個人情報漏洩にも繋がるため、危険度の高いサイバー攻撃と言えます。

さらに詳しく知りたい方はこちらの記事も参考にしてみてください。
SQLインジェクションとは?被害事例と対策方法5つ!

WordPressサイト150万件以上が被害を受けた不正改ざん事例

2017年にWordPress「4.7.0」および「4.7.1」のバージョンを利用しているサイト150万件以上が不正改ざんに遭うという被害が起こりました。

REST APIを悪用した攻撃で、認証を受けていない第三者が遠隔でサイトの不正改ざんが可能になるというもので大きな被害につながりました。

詳しくはIPA(情報処理推進機構)のサイトにある該当ページをご覧ください。

外部参考サイト:IPA 情報処理推進機構 WordPressの脆弱性対策について

もしも不正改ざんされてしまったら…。ハッキングからの復旧方法

もしも、自分のサイトが不正な改ざんを受けてしまった場合は、焦らず冷静に対処するよう心がけましょう。

定期的にバックアップを取得しているのであれば、ファイルやデータベースの更新履歴や不審なアクセスログなどが確認し、それ以前のバックアップからサイト復旧できる可能性があります。
(ただし、バックアップからハッキング時点までの本来のサイトの更新などは消えてしまうので、ハッキング時点のファイルもバックアップしておきましょう)

自分で定期的にバックアップを行なってなかった場合でも、レンタルサーバー等を利用していれば、サーバー側でバックアップを保存してくれている場合もあるので、問い合わせて見ると良いでしょう。

バックアップが全くない場合は、自分で改ざん箇所を調査し、対応を行う必要があります。
改ざん箇所を探すことに加え、正規の記述と不正記述を見分ける必要があるため、専門性の高い作業となります。
以下の記事では、自力での復旧方法をご紹介していますので、復旧作業に入る前にご一読ください。
ハッキングから自力復旧!WordPressサイトを正常に戻す手順を解説

復旧作業の際、正規の記述まで削除してしまうと、サイトが正しい状態に戻らなくなる危険もあるため、ご自身に知識がない場合は専門家へ依頼することをお勧めします。
WordPressセキュリティ対策を依頼する

WordPressの不正改ざんを未然に防ぐには

WordPressの不正改ざんを未然に防ぐには、次のような方法があります。

  • WordPress・テーマ・プラグインを最新の状態にする
  • ユーザー名パスワードを厳重にする
  • アクセス権限を行う
  • パーミッションを設定する
  • PCにもセキュリティ対策を

上記について以下で説明していきます。

WordPress・テーマ・プラグインを最新の状態にする

一番基本となる対策方法です。
お使いになっている、WordPress・テーマ・プラグインを全て最新の状態に保つようにしてください。

それぞれのアップデートには、機能の追加や不具合の解消だけでなく、確認された脆弱性への対策が含まれます。
最新の状態に保っておけば、基本的に既知の脆弱性に対しては対策された状態を維持することができます。

逆に言えば、脆弱性が明らかになっているバージョンを使用し続ければ、ハッカーにとっては良い標的となってしまいます。

アップデート内容については、wordpress.orgのサイト等で、テーマやプラグインについては各公式サイト等で詳細が発表されていますので、気になる方は事前に確認しておくと良いでしょう。

また、アップデートする際には、必ずサイトのバックアップを取得しておきましょう。
サーバーのPHPバージョンと合わなくなったり、古いプラグインが動かなくなったり等、不具合が発生する場合があります。

企業等で毎回のバージョンアップにリソースが割けないという場合には、『WordPress保守サービス』に依頼して、プロに丸投げしてしまうのも良いでしょう。

ユーザー名パスワードを厳重にする

ユーザー名やパスワードについては、最も簡単に出来るセキュリティ対策のひとつです。

adminユーザーは使わない

WordPressのユーザー名に関しては、デフォルトの「admin」というユーザーアカウントは使わないようにしましょう。
別の管理者ユーザーを作成し、「admin」については削除しておきましょう。

パスワードはできる限り複雑に

また、パスワードについては、上述したようなブルートフォースアタックやパスワードリスト攻撃で簡単に突破されてしまわないよう、以下のポイントを踏まえて設定しましょう。

  • 意味のない文字列にする
  • 記号や数字、大文字小文字を混ぜる
  • 可能な限り、長いパスワードにする

意味のない文字列とはいえ「自分で考えるのが面倒」という方は、こちらのような『パスワード生成ツール』を使用すると便利です。

ユーザーIDやパスワードの使い回しはしない

WordPressではなく他のWebサービスやSNS等からユーザー情報が漏れるケースも十分考えられます。
基本ではありますが、ユーザーIDやパスワードは使い回さないようにしましょう。

アクセス権限

少し知識が必要になりますが、特定のIPアドレスからのみアクセスを許可したり、国外からのアクセスを拒否することができます。
特定のページやディレクトリのみにアクセス制限をかけることができますので、WordPressのログインページや管理画面にアクセス制限をかけることで、セキュリティを強化することができます。

アクセス制限をかける方法は「.htaccess」ファイルを編集したり、各レンタルサーバーの管理画面で設定を行うなど、いくつか方法があります。
参考記事を挙げておきますので、参考にしてみてください。

外部参考記事:WordPress管理画面にIPアドレス制限をかける方法(.htaccess)
外部参考記事:Xserverでアクセス制限を行う
外部参考記事:ロリポップレンタルサーバーでアクセス制限を行う

ファイルごとにパーミッションを設定する

ファイルごとに、パーミッション(権限)を設定することで、悪質な編集や勝手な編集を防ぐことができます。

「.htaccess」や「wp-config」など、重要なファイルは適切なパーミッション(権限)をかけておくことを推奨します。

外部参考記事:ファイルパーミッションの変更

PCにもセキュリティ対策を

PCにもウイルスは感染します。
PCからの流入もありえますので、対策しておくことでPCも安全に保つことができますしWebサイトへの流入も防ぐことが可能です。

PC版のセキュリティ対策ソフトは様々ありますので、検討してみてはいかがでしょうか。

無料のセキュリティソフト
アバスト

Avira

WordPressサイトの不正改ざんを防ぐには、保守・セキュリティ対策が重要

WordPressの不正改ざんについて、被害やその手法、対策方法などについて解説してきました。

一度、不正改ざんを受けると、様々な被害を受ける可能性があります。
不正改ざんを含めたハッキング被害を防ぐには、日々の保守(メンテナンス)とセキュリティ対策が重要です。

バージョンアップ等のこまめなメンテナンスと基本的なセキュリティ対策を行っておけば、被害を受ける可能性は大きく減らすことが可能です。

保守やセキュリティについて自社で対策することが難しい場合は、WordPress・セキュリティのプロに依頼しても良いでしょう。
WordPressのプロに保守・セキュリティ対策を依頼する

土井純也

土井 純也 Twitterアイコン Facebookアイコン

WordPressスペシャリスト・エンジニア
株式会社e2e 取締役
1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.supportを "いいね!"
Facebookで更新情報をお届け。

WordPressの保守・セキュリティ対策なら「wp.support」

WordPressのプロによる保守サービス

ワードプレスのバージョンアップセキュリティ対策
お悩みではないですか?
「何かが起きる前に!」
WordPressのプロフェッショナル集団が対応します。
サーバー保守にも対応。月額4万円〜
SSL対応、定期バックアップもお任せ下さい。