wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

セキュリティ 2022.10.26

WordPressの攻撃事例5選【ハッキングの仕組みと攻撃されないための対策】

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

WordPressのWebサイトを運用する中で最も警戒すべきことは、悪意のあるハッカーからのサイバー攻撃です。サイバー攻撃を受けてしまうと、Webサイトが機能しなくなったり、Webサイトを介してサイトの訪問者に危害が加えられたりする可能性があり、企業に大きな損害を与える可能性があります。

本記事ではWordPressのサイトが実際に被害にあった攻撃事例をご紹介するとともに、WordPressサイトを攻撃から守るための方法についても解説します。

WordPressのセキュリティ面について懸念点がある方は、ぜひ参考にしてください。

WordPressサイトを狙った攻撃事例5選

WordPressサイトは、様々な攻撃が行われる可能性があり、過去にも実に多様な手法で攻撃が行われてきました。

実際にWordPressは、圧倒的なシェア率の高さやオープンソースという性質から、世界中のハッカーから狙われることがあります。

適切な運用をしていれば安全ではあるものの、ここでは過去にあったWordPressサイトを狙った攻撃事例についてご紹介します。

160万のWordPressサイトが脆弱性を狙った攻撃対象に

2021年の12月9日に、Wordfenceのインテリジェンスチームが行った発表によると、160万ものWordPressサイトがWordPressのプラグインの脆弱性を突いた攻撃の対象となりました。

この攻撃によって、攻撃者は対象のWebサイトの管理者権限を奪うとともに、サイトのコンテンツやプログラムの改ざんなどを行っていたのです。

本件のように、WordPressそのものではなく、プラグインの脆弱性を突いた攻撃事例というのは、Wordfenceの発表のほかにも多く行われており、自覚されていないものも含めると、相当数のサイトが被害を受けていると考えられます。

被害を受けたWebサイトは、コンテンツが表示されないようなケースだけではなく、悪質なスクリプトの挿入などによって、訪問ユーザーに被害を与えるケースもあるため、WordPressやプラグインの脆弱性に対する対策を十分に行うことが大切です。

WP File Managerを対象にした攻撃

プラグインの脆弱性をついた攻撃の中でも、本サイトを運営する弊社に最も多くの問い合わせをいただいた被害として、プラグイン「WP File Manager」を対象した攻撃があります。

当時、WordPressファイルを操作するためのプラグイン「WP File Manager」に重大な脆弱性が報告されました。(現在は修正されています。)

対象の脆弱性を突くことで、不正なファイルを外部からアップロード可能となり、Webサイトが正常に使用できなくなったり、スパムサイトや詐欺サイトへリダイレクトが行われたりするような被害が多発しました。

また、上記のようにWordPress内外を問わない様々なファイルの操作が不正に行われてしまい、複合的な被害が発生したことから、復旧にも大きな時間が必要となる事例が散見されました。

WP File Managerは、FTPクライアントなどを操作できない方が多く利用するプラグインであり、WordPressの利用経験が浅いユーザーが使用する機会が非常に多いです。

そのため、不具合にそもそも気がつかなかったり、気が付いたとしても適切な対処法が分からず、対応が遅れてしまったケースが多くあることから、被害の広範囲・深刻になったと考えられます。

マルウェア感染

マルウェアとは、コンピューターのユーザーやWebサイトの利用者に、不利益をもたらすコンピューターウイルスのことです。

Webサイトの改ざんを行う際に、マルウェアとなるスクリプトなどを埋め込むことによって攻撃が行われます。

マルウェアの感染経路は実に多様であり、先述したように直接スクリプトが埋め込まれるケースもあれば、管理者のデバイスがマルウェアに感染し、デバイス経由でWebサイトへの不正アクセスが行われるケースもあります。

プラグイン等の脆弱性によってマルウェアに感染してしまうケースもあるため、できる限り安全なプラグインを見定めて使用する必要があるでしょう。

管理者アカウントのハッキング

当然ながら、攻撃者も対象のWebサイトの管理者アカウントの情報を入手すれば、管理画面にログインでき、管理画面の中からサイトへの攻撃を行うことが可能です。

フィッシング詐欺などを活用して、管理者のユーザー名やパスワードを抜き取る方法や、総当たり攻撃と呼ばれる攻撃によってWordPressにログインされるケースがあります。

手に入れた管理者アカウントの認証情報をもとにハッカーが管理画面にログインを行い、悪意のあるファイルのアップロードや、バックドアが仕込まれたテーマなどのインストールが行われます。

Webサイトに対してこれらの攻撃が行われると、気付かぬうちに悪意のあるページにリダイレクトするようになったり、スパムメールの踏み台にされる被害を引き起こします。管理者としての権限を持たれることで、内部の改ざんがしやすくなっているので、非常に危険な状態と言えるでしょう。

バックドアが仕込まれたのWordPressテーマ・プラグイン

バックドア(裏口)とは、攻撃者が管理者に気付かれないようにコンピューターに侵入するための経路のことです。悪意のあるWordPressテーマやプラグインでは、インストールおよび有効化をすることで、バックドアとしての機能を持つものもあります。

気付かずにインストールすると、攻撃者が管理者アカウントを持った場合と同様に、いつでもWebサイトの内部にアクセスできるようになってしまい、Webサイトの改ざんが行われます。

特にプラグインについては、たとえ利用者数が多いものであったとしてもバックドアが仕込まれていることもあるので、インターネット検索などを用いて必ずチェックしましょう。

WordPressサイトのハッキングはどのようにして行われるか

WordPressサイトのハッキングは、一見高度なエンジニアリングスキルが必要であると思われているものの、想像するより遥かに容易に行われます。

WordPressのハッキングを行うためのツールや、スクリプトはWeb上に公開されており、そこで紹介されているツールやスクリプトを使用することで、プログラムを扱えないような人でもハッキングをすることが可能になります。。

WordPressのハッキングの多くは、WordPressの脆弱性を狙って作成されたツールによって行われるため、そうしたツールによる不正な経路からのアクセス方法からサイトを守る必要があります。

詳しくは後述しますが、「SiteGuard WP Plugin」と呼ばれるプラグインを使用し、悪質な攻撃からWordPressを守ることで、ハッキング被害のリスクは大きく減らせるでしょう。

WordPressが攻撃されないようにするための対策

WordPressが攻撃されないようにするためには、下記の4点に取り組むことが大切です。

  • WordPressのバージョンアップを定期的に行う
  • セキュリティ対策用プラグインを入れる
  • ログインパスワードを複雑なものにする
  • WordPress保守のプロに依頼する

それぞれ順番に解説します。

WordPressのバージョンアップを行う

WordPressは、機能の拡張や脆弱性の改善など、現在進行形で日々開発が行われています。そのため、WordPressでは定期的に新たなバージョンがリリースされます。

WordPressのバージョンアップを行うことで、機能が増えたり、バグの修正が行われたりすることはもちろんのこと、それまであった脆弱性の改善もされます。これによって、WordPressのセキュリティ性能が向上し、攻撃を防ぎ易くなります。

古いバージョンのWordPressを使用していると、攻撃を受けやすくなってしまうため、こまめに更新情報がないかを確認し、定期的にバージョンアップを行いましょう。

セキュリティ対策用プラグインを入れる

ハッキング被害への対策を行う場合、すべてを自力で行うのは非常に困難であるため、セキュリティ対策用のプラグインを入れるのも有効な手段の一つです。

セキュリティ対策用のプラグインでは、管理画面に不正アクセスされにくくしたり、管理ページへのアクセスを制限できたりするため、WordPressを改ざんされるリスクを減らすことが可能です。

数あるセキュリティ対策用プラグインの中でも、「SiteGuard WP Plugin」は、使いやすさと機能の観点で非常に優秀と言えます。国産プラグインであることも、使いやすさの理由の一つかもしれません。

「SiteGuard WP Plugin」の代表的な機能としては、下記の通りです。

  • 管理ページへのアクセスを、IPアドレス単位で制限できる
  • ログインページのURLを変更できる
  • WordPressの更新が公開された際に、通知を受けられる

上記の3つの機能は、セキュリティの観点から非常に有用であるため、プラグインのインストール・有効化を行ったら上記の機能の有効化も忘れずに行いましょう。

ログインパスワードを複雑なものにする

ログインパスワードを複雑なものにすることも、WordPressサイトを安全に運用する上で大切です。WordPressに不正ログインされる際には、「ブルートフォースアタック(総当たり攻撃)」と呼ばれる、膨大な数の文字列をパスワード欄に入力し、強引にログインする手法が取られることがあります。

複雑でないパスワードを使用していると、簡単に不正ログインを許してしまいます。

また、自身の誕生日といった連想しやすいものも使わないことが大切です。不正ログインを行った加害者が身近な人物である例も珍しくはありません。目に見えない攻撃者だけではなく、身近な方によって不正アクセスが行われる可能性があることも考慮したパスワードを使用しましょう。

WordPress保守のプロに依頼する

WordPressのWebサイトを攻撃から守る最適解として、WordPress保守のプロに依頼することが挙げられます。プロに依頼することで、セキュリティ性能が高い状態のまま、継続的にWordPressを管理してもらえるとともに、万が一攻撃が行われた際もいち早く対処してくれるため、被害を最小限に抑えることが可能です。

e2eでは、WordPressに特化したエンジニアがお客様のWordPressサイトの保守を行うサービスを行っております。無料で相談できる上に、対応内容も充実しているため、安全にWordPressサイトを利用したい方は、ぜひ一度ご相談ください。

まとめ

本記事では、過去にWordPressサイトが受けてきた攻撃被害の事例について紹介するとともに、攻撃被害に遭わないための対策について解説しました。

WordPressは、定期的なメンテナンスリリースを行うことで本来セキュリティ性能が非常に高いCMSではあるものの、世界的にシェアが高いことや、ユーザーが管理を疎かにしてしまいがちであることから、世界中のハッカーに狙われがちです。そのため、日頃から十分なセキュリティ対策を行う必要があるのです。

本記事を参考に、ぜひWordPressのセキュリティ性を高めていただくとともに、強固なセキュリティ体制を築きたい方は、WordPressの専門家に依頼することをご検討ください。

注目記事バナー
2022.10.24