wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

セキュリティ 2022.10.26

WordPressの不正アクセスを調査する方法とその対策を徹底解説

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

WordPressの不正アクセスの被害は多く、セキュリティ面の不安を感じている方も多いのではないでしょうか。

しかし、WordPressは適切な管理・運用を行うことで、非常に安全に運用できるCMSです。

本記事では、WordPressの不正アクセスを調査する方法や、不正アクセスを防ぐための方法について解説します。

実際に、不正アクセスの被害例も交えながら解説するので、ぜひ参考にしてください。

前提として、WordPressはセキュリティ的に優れているCMS

大前提として、WordPressはセキュリティの観点でも、非常に優れているCMSです。

まれに、「WordPressはハッカー(クラッカー)による被害件数が多いCMSである」と取り上げるWebメディアが見られます。

これは、WordPressが脆弱性が高いCMSであるというわけではなく、全Webサイトの40%以上と、圧倒的に利用者が多いからこそハッカーに狙われやすい傾向があるだけです。

世界中のWordPress利用者の中で、攻撃を受けているサイトの割合を考えると非常に小さく、安全性が高いとすら言えます。

WordPressは適切に管理・運用することで、強固なセキュリティのWebサイトの構築が可能です。

セキュリティの観点を重視する場合は、管理・運用方法が非常に重要な要素であることを覚えておきましょう。

すべてのWordPressが不正アクセスの標的になることも事実

WordPressは適切に管理・運用することで、強固なセキュリティ体制のWebサイトを構築できます。

しかし、すべてのWordPressが不正アクセスの標的になることも事実です。なぜなら、世界で圧倒的なシェアを誇っている、オープンソース型のCMSであるため、ハッカー目線で見ればWordPressのハッキングを狙うことで、効率的に標的を増やせるからです。

WordPressはセキュリティ面で安全性の高いCMSではあるものの、不正アクセスの標的になっていることを忘れることなく、適切な管理・運用を行いましょう。

WordPressに不正アクセスされる目的とは

WordPressに不正アクセスされる目的は、大きく下記の4つです。

  • 金銭目的
  • 情報を抜き取る目的
  • いたずら・サイト運営の妨害
  • アクセス・Trafficを奪う目的

それぞれ順番に解説します。

金銭目的

WordPressの不正アクセスによってサイト内にスクリプトが埋め込まれることによって、Webサイトを訪れたユーザーに対して、金銭の支払いを求めるページを表示するようにWebサイトを書き換えられるケースがあります。

ワンクリック詐欺と同様の手法で、Webサイトを訪れると別のページにリダイレクトされ、脅迫まがいの文言とともに、金銭の支払いを求めるページが表示されるというものです。

さらにこのハッキングでは、管理画面にログインしている状態では、リダイレクト等の不正な処理が行われないような設定を施すハッキング被害が多く、運用者が気づくことが非常に難しいのです。

運用者が気づかないまま、Webサイト訪問者から金銭の搾取が行われてしまい、Webサイトや運営企業の信用喪失につながるため、悪質なハッキングの1つと言えるでしょう。

情報を抜き取る目的

WordPressに不正アクセスすることで、情報を抜き取るハッカーも存在します。

運営しているWebサイトによっては、顧客の個人情報が蓄積されているケースもあります。このような場合に、顧客情報を抜き取るために不正アクセスが行われるのです。

個人情報の取り扱いは非常にセンシティブであるため、このようなことがないように、十分な対策を行っておくことが大切です。

いたずら・サイト運営の妨害

特に理由がなかったとしても、いたずら目的や、ハッキング手法を試したいがために不正アクセスが行われるケースがあります。

いたずらの内容としては、Webサイトを閲覧できない状態にしたり、管理画面にユーザーを入れなくさせるといったものです。

上記の2つのように、Webサイトのユーザーが被害を被るようなことをされるケースは少ないものの、Webサイト運営の大きな妨げになるような攻撃が行われます。

アクセス・トラフィックを奪う目的

WordPressに不正アクセスし、任意の悪質なWebサイトなどに誘導するためのボタンが設置されたり、自動的にリダイレクトが行われるコードが実装されたりすることがあります。

このハッキングを受けると、本来のWebサイトにアクセスすると同時に、不正サイトにリダイレクトが行われることになるため、結果的にWebサイトが機能していないのと同様の状態になります。

また、悪質なサイトにユーザーを流すようになっている場合、自社サイトのユーザーが詐欺の被害にあったり、コンピューターウイルスに感染したりといった、被害に発展することも考えられるでしょう。

極端なアクセス数の低下などが見られたら、WordPressの乗っ取りも視野に入れて原因を追求しましょう。

WordPressの不正アクセスの被害事例

WordPressの不正アクセスの被害事例として、下記の2つが多く見られます。

  • Webサイトに外部リンクを貼られる
  • スパムメールの踏み台にされる

それぞれ順番に解説します。

Webサイトに外部リンクを貼られる

Webサイト上に、まったく関係のないWebサイトや悪質なサイトへの外部リンクを貼られる事例です。

Webサイト上に貼られたリンクは、フィッシングサイトなどに繋がっており、訪れたユーザーを困惑させる事態になりました。

乗っ取りの原因は、古い状態でバージョンアップが行われていないプラグインであることが明らかとなり、バージョンアップが行われないプラグインの危険性を再認識させられる事態となりました。

スパムメールの踏み台にされる

WordPressの乗っ取りで影響を受けるのは、Webサイトだけではありません。

2017年には、企業のテスト環境にインストールされたWordPressサイトの乗っ取りが行われ、メール送信機能を悪用された事例があります。

この事例では、乗っ取りが行われた企業のWordPressが、スパムメールを送るための踏み台として利用されてしまったのです。

WordPressの不正アクセスを調査する方法

WordPessの不正アクセスは、下記の方法で調査可能です。

  • サイトへのログイン履歴を確認する
  • Googleの検索結果を定期的に確認する
  • SiteGuard WP Pluginを使う

それぞれ順番に解説します。

サイトへのログイン履歴を確認する

WordPressの不正アクセスを行う際には、WordPressの管理画面にログインされるケースもあります。

そのため、専用のプラグインを用いてログイン履歴を残すことで、ハッカーのログイン動向を確認するとともに、ハッキング対策を行うことが可能です。

サイトのログイン履歴をこまめに確認することで、心当たりのない第三者のログインをいち早く確認するとともに、ログインIDやパスワードの変更を行うなどの対策も講じることが可能です。

調査と対策の2つの観点から、こまめにサイトへのログイン履歴を確認しましょう。

Googleの検索結果を定期的に確認する

WordPressの不正アクセスの調査の一環として、Googleの検索結果を定期的に確認することも手段の1つです。

不正アクセスされて改ざんされた自社サイトが、Googleの検索結果やSNSで出回っていないかを定期的に確認することで、Webサイトの異変に気づきやすくなります。

SiteGuard WP Pluginを使う

SiteGuard WP Pluginは、国産のWordPressのセキュリティ対策に使用されるプラグインの1つです。

SiteGuard WP Pluginを使用することで、ログインURLの変更や、一定時間内のログイン試行回数の制限が設定可能になるなど、不正アクセスへの対策を十分に行うことが可能です。

また、SiteGuard WP Pluginを導入することで、ログインされた場合にアラートがメールで届くようにできるため、不正アクセスにいち早く気づけるため、調査の手間を大幅に減らせます。

セキュリティ対策として、必要な機能を備えているため、特別な理由がない限りはインストールしておくことを推奨します。

WordPressの不正アクセスを防ぐためには

WordPressの不正アクセスを防ぐために、下記の3つの方法を実践しましょう。

  • WordPressを最新バージョンにする
  • Wordfenceプラグインを導入する
  • 実績のある企業に保守を依頼する

それぞれ順番に解説します。

WordPressを最新バージョンにする

先述した事例でもあったように、WordPressそのものや、プラグインが古いバージョンであることが原因で、WordPressサイトに脆弱性が見られるケースが非常に多いです。

WordPressそのものや、プラグインはアップデートを通じて機能の追加・改善や脆弱性の改善を行います。そのため、WordPressやプラグインを定期的に最新の状態にすることは、セキュリティ対策として非常に重要です。

こまめにアップデート情報がないかを確認し、アップデートが可能な場合はアップデートをするように心がけましょう。

Wordfenceプラグインを導入する

WordPressの不正アクセスを防ぐために、Wordfenceプラグインを導入するのもおすすめです。

Wordfenceは、ファイアウォールとマルウェアスキャンを兼ね備えているプラグインであり、セキュリティ対策のために必要な機能をすべて備えているプラグインです。

これらの機能のほかにも、脆弱性のスキャンを行うとともに、脆弱性の改善方法の提示を行う機能や、IP制限なども可能になっています。

WordPressの不正アクセスやハッキングを防ぎたいものの、何をすれば良いのかが分からない場合は、Wordfenceをインストール・有効化することを推奨します。

実績のある企業に保守を依頼する

WordPressのセキュリティ対策を十分に行いたいものの、自社にリソースや知識がない場合や、適切に行えているのか不安な方も多いでしょう。

また自社内で、定期的かつ十分なメンテナンスを行うことは非常に難しい上に、非常に手間がかかります。

このような場合には、実績のある企業にWordPressの保守・管理を依頼することがおすすめです。

e2eのWordPressの保守・管理サービスである、wp.supportでは、バージョンアップや、バックアップ・セキュリティ対策といった、WordPressの保守・管理に必要な項目を一括で実施しています。

プロのエンジニアによる、電話・メールサポートも行っているため、不安なことがあっても、いち早く問題の解決が可能です。

WordPressの保守や管理を専門家に一任したいと考えている場合は、ぜひ一度お問い合わせください。

企業様の安全なサイト運営を支援するwp.support

まとめ

本記事では、WordPressの不正アクセスに関する被害を紹介するとともに、不正アクセスを防ぐための方法について解説しました。

WordPressは適切に管理・運用すれば、非常に高いセキュリティ体制で運用することが可能です。

ぜひ本記事で解説したことを参考にして、安全性の高いWordPress運用を行ってください。

注目記事バナー
2022.09.21