前回までの記事では、WordPress(ワードプレス)とブログの投稿について解説してきました。
今回はセキュリティについてお話ししたいと思います。
WordPressは狙われやすい!?
ブログ投稿という初歩のことから、なぜ突然セキュリティの説明になるかというと、WordPressがとにかくハッカーから狙われやすいためです。
ハッカーがWordPressを狙う理由は以下のように考えられます。
- WordPressのサイトは全世界に多く存在しているため、複数のサイトにパターン攻撃できる
- 更新していないWordPressも一定の割合があるため、脆弱性を突くことができる
- 放置されたWordPressも一定の割合があるため、乗っ取ればそのサーバーを自由に利用できる
WordPressがあまりにも普及しているため、それが狙われる理由になってしまうのです。
では、ハッキングしたWordPressに対してハッカー集団は何をするのでしょうか。私が過去に経験したものだと主に以下のように利用されます。
- 意図しないページにリダイレクトさせる
- 全く別のページが表示される
- 大量のメールが送信される
一部のファイルは書き換えられるものの、「ファイル全体を削除される」、また「データベースを消去される」というケースは見たことがありません(※ データベースを消去することも可能ですが、ハッキングの目的が違うようです)。
これらのことを行うために、意味不明なファイルがサーバー内のさまざまな箇所に配置されます。中身を見ると、ぱっと見意味がわからないプログラムが書かれているのですが、特定の条件で実行できるようなプログラムになっており、「よくこんなことを考えるな」と思うものばかりです。
「WordPressはセキュリティが危ない」というイメージが一部ありますが、それはこのように「狙われやすい」「利用されやすい」ということがあるからだと思います。
WordPressの何が狙われているのか
WordPressは以下の問題によりハッキングに狙われます。
- 管理者のログインのハッキング
- WordPress本体の脆弱性
- プラグインの脆弱性
<管理者のログインのハッキング>
これは、単純にID/PWをブルートアタックされ、管理者権限でログインされるハッキングです。管理者権限でログインされることで、その後、自由にWordPressを変更をされてしまいます。私が過去に見たハッキングは、全てこのパターンだったと思われます。
<WordPress本体の脆弱性>
これはWordPress本体の脆弱性のため、この脆弱性を突かれるとどうしようもないのですが、WordPressも日々進化しているので、WordPressを随時更新することで対応していきます。
<プラグインの脆弱性>
WordPressのプラグインは多くの開発者がある程度のフォーマットに沿ってプログラムを開発しますし、公開前にはWordPressチームのチェックが入ります。しかし、公開後のプラグインの更新まではチェックが入らないため、脆弱性が出る可能性が高まることがあります。ただ、相当有名なプラグインでない限り、効率が悪いためハッカー側も狙うことは少ないと思います。
■
次回では、具体的なセキュリティー対策の設定方法をご紹介します。
(次回につづく)
【関連記事】
・自分のサイトが簡単に持てる!ワードプレス無料講座①
・ワードプレス講座②:ワードプレスとホームページとブログの違い
・ワードプレス講座③:ワードプレスの魅力とメリット①
・ワードプレス講座④:ワードプレスの魅力とメリット②
・ワードプレス講座⑤:SEOとワードプレス
・ワードプレス講座⑥:ドメインを取得する
・ワードプレス講座⑦:サーバー設定
・ワードプレス講座⑧:ワードプレスのインストール
・ワードプレス講座⑨:ブログ投稿方法(旧画面)
・ワードプレス講座⑩:ブログ投稿方法(新画面)