ワードプレス講座⑪:WordPressのセキュリティについて

Warchi/iStock

前回までの記事では、WordPress(ワードプレス)とブログの投稿について解説してきました。

(前回:ワードプレス講座⑩:ブログ投稿方法(新画面)

今回はセキュリティについてお話ししたいと思います。

WordPressは狙われやすい!?

ブログ投稿という初歩のことから、なぜ突然セキュリティの説明になるかというと、WordPressがとにかくハッカーから狙われやすいためです。

ハッカーがWordPressを狙う理由は以下のように考えられます。

  • WordPressのサイトは全世界に多く存在しているため、複数のサイトにパターン攻撃できる
  • 更新していないWordPressも一定の割合があるため、脆弱性を突くことができる
  • 放置されたWordPressも一定の割合があるため、乗っ取ればそのサーバーを自由に利用できる

WordPressがあまりにも普及しているため、それが狙われる理由になってしまうのです。

では、ハッキングしたWordPressに対してハッカー集団は何をするのでしょうか。私が過去に経験したものだと主に以下のように利用されます。

  • 意図しないページにリダイレクトさせる
  • 全く別のページが表示される
  • 大量のメールが送信される

一部のファイルは書き換えられるものの、「ファイル全体を削除される」、また「データベースを消去される」というケースは見たことがありません(※ データベースを消去することも可能ですが、ハッキングの目的が違うようです)。

これらのことを行うために、意味不明なファイルがサーバー内のさまざまな箇所に配置されます。中身を見ると、ぱっと見意味がわからないプログラムが書かれているのですが、特定の条件で実行できるようなプログラムになっており、「よくこんなことを考えるな」と思うものばかりです。

「WordPressはセキュリティが危ない」というイメージが一部ありますが、それはこのように「狙われやすい」「利用されやすい」ということがあるからだと思います。

WordPressの何が狙われているのか

WordPressは以下の問題によりハッキングに狙われます。

  • 管理者のログインのハッキング
  • WordPress本体の脆弱性
  • プラグインの脆弱性

<管理者のログインのハッキング>

これは、単純にID/PWをブルートアタックされ、管理者権限でログインされるハッキングです。管理者権限でログインされることで、その後、自由にWordPressを変更をされてしまいます。私が過去に見たハッキングは、全てこのパターンだったと思われます。

<WordPress本体の脆弱性>

これはWordPress本体の脆弱性のため、この脆弱性を突かれるとどうしようもないのですが、WordPressも日々進化しているので、WordPressを随時更新することで対応していきます。

<プラグインの脆弱性>

WordPressのプラグインは多くの開発者がある程度のフォーマットに沿ってプログラムを開発しますし、公開前にはWordPressチームのチェックが入ります。しかし、公開後のプラグインの更新まではチェックが入らないため、脆弱性が出る可能性が高まることがあります。ただ、相当有名なプラグインでない限り、効率が悪いためハッカー側も狙うことは少ないと思います。

次回では、具体的なセキュリティー対策の設定方法をご紹介します。

(次回につづく)

【関連記事】
自分のサイトが簡単に持てる!ワードプレス無料講座①
ワードプレス講座②:ワードプレスとホームページとブログの違い
ワードプレス講座③:ワードプレスの魅力とメリット①
ワードプレス講座④:ワードプレスの魅力とメリット②
ワードプレス講座⑤:SEOとワードプレス
ワードプレス講座⑥:ドメインを取得する
ワードプレス講座⑦:サーバー設定
ワードプレス講座⑧:ワードプレスのインストール
ワードプレス講座⑨:ブログ投稿方法(旧画面)
ワードプレス講座⑩:ブログ投稿方法(新画面)