ハッキング、正しくはクラッキングと言います。ハッキング／ハッカーとは「異常にコンピュータ・技術に詳しい人とその行為」であって、悪い意味は全くありません。対してクラッキング／クラッカーとは「破壊・乗っ取り」を目的としています。

よく言われるのは「WordPressはオープンソースなので心配だ！」ということです。これが大変な誤解です。

また「WordPressは狙われやすい」と心配する人も多くいます。

オープンソース

プログラムソースが公開され、誰でも開発に参加したり改造したりできます。その中で2003年から生き残ってきたのがWordPressです。大変多くの人達がそのポリシーに共感し、高機能化・安定化・セキュリティ強化を行ってきました。

もしかすると悪意を持って参加した人もいるかもしれません。「バックドア」と呼ばれる「穴」を仕掛けようとしたかもしれません。しかし大多数の善意の人達が、それを見逃したことはありませんでした。だからこそ「世界中のウェブサイト（ホームページ）の約50％がWordPressで作られている」とまでなったのです。

そもそもセキュリティに一番敏感なサーバやスーパーコンピュータの90％はLinuxというシステムで動いています。LinuxはWindowsやMacOSのような基本プログラムです。そのLinuxこそがオープンソースの代表格です。Windowsよりもはるかに安定して動き、セキュリティも高レベルです。

狙われやすい

WordPressで作られたホームページが大変多い＝母数が大きいため、当然狙われる数も多くなります。無作為に攻撃すればWordPressのサイトに当たることも多いわけですね。

WordPressで作られたサイトは記事の追加・修正が容易なため巨大化しやすくなっています。攻撃を受けた時、コンテンツの量に応じて被害も大きくなりがちです。

また即時性も高いため読者がつきやすく、攻撃を受けるとすぐに多くの人に知れ渡ります。

このあたりが「WordPressは狙われやすい」と言われる理由でしょう。あくまで総数の問題で、確率の問題ではありません。

実際の攻撃とは？

攻撃には2つのパターンがあります。

1. とにかく乗っ取りやすいところを攻撃し、そこを次の攻撃の踏み台にします。無差別攻撃とも言えます。母数が大きいWordPressは、これで多くのサイトが攻撃されてしまいます。
2. 思想や金銭的な面からターゲットを選びます。ここでは「WordPressで作られている」ことはあまり問題にはなりません。

そして代表的な攻撃方法も決まっています。

脆弱性の悪用

WordPress本体、テーマ、プラグインに脆弱性が発見され、修正パッチが公開される前に攻撃者がその脆弱性を悪用しクラッキングを行われる場合です。。

対策

• 常にWordPress本体、テーマ、プラグインを最新バージョンに保ち、脆弱性情報を収集し、迅速に対応することが重要です。
• システムファイルのパーミッション（アクセス権限）を適切に設定します。

ブルートフォースアタック

攻撃者がIDとパスワードの組み合わせを試行錯誤することで、WordPressにログインしてサイトを乗っ取ります。

対策

• 推測されにくい強力なパスワードを設定します。基本中の基本です。
• ログイン試行回数制限プラグインを導入する。銀行ATMのように「3回失敗したらユーザーをロックする」というような機能です。
• 2段階認証を設定する。メールやSMSで本人を追加確認します。現在、必須の機能です。

マルウェア感染

悪意のあるファイルがWordPressサイトにアップロードされ、マルウェアに感染します。

対策

• 不明なファイルはアップロードしないようにします。WordPressは、標準で「実行ファイル」のアップロードを禁止しています。
• セキュリティ対策プラグインを導入し、定期的にマルウェアスキャンを行います。
• 信頼できるサーバを使用します。通常、レンタルサーバは1つのサーバ機器を複数のユーザで共有しています。セキュリティの甘いサーバでは他ユーザの領域が乗っ取られた際に影響が出ることもありました。最近はそこまでひどいサーバは聞きませんが、古く更新されていないような業者は避けるべきでしょう。

ソーシャルエンジニアリング

攻撃者がサイト管理者になりすましてサーバー管理者やホスティング会社にアクセスし、サイト情報を入手します。IDやパスワードを盗み見られる等です。

対策

• ID・パスワードを厳重に管理します。
• 不審なメールや電話に注意する。フィッシングメールが最たるものです。
• 社内でのセキュリティ教育を徹底します。
• ユーザーの権限を適正に制限します。例えば「記事を書くだけの人に管理者権限をつけない」等です。

サプライチェーン攻撃

WordPress関連サービス（テーマ、プラグインなど）の脆弱性を突かれ、そこからWordPressサイトがクラッキングされます。

対策

• WordPress本体、テーマ、プラグインを常に最新バージョンに保つ。
• 信頼できる開発元のテーマやプラグインを利用する。

DOS・DDoS攻撃

DoS（Denial of Service）、DDoS（Distributed Denial of Service）攻撃とは、攻撃対象となるWebサーバーなどに対し、攻撃元コンピューターから大量のパケットを送りつけることで、正常なサービス提供を妨げる行為を指します。Dosは単独または少数、DDoS攻撃は多数からの攻撃という違いがあります。乗っ取り目的とは異なりますが、サービスの停止に追い込まれます。サービス停止またはハングアップ中にのみ発生するセキュリティホールを突いて乗っ取りを試みるといった事例もあります。

対策

• サイト側での対策は難しく、サーバに依存します。
• 既知の攻撃元（IPアドレス）からのアクセスを遮断します。
• 異常なアクセスを感知した時、素早くそのアクセス元IPアドレスからのアクセスを遮断します。

WordPress導入・運用時の注意は？

恐ろしい話が続きました。ネットは便利な分、悪意ある者達で満ち満ちています。そのことを頭に置いて「できる対策は即時行う」ことが大切です。

WordPress導入時の基本的な対策

• 導入時のみに必要なファイルを全て削除します。
• ファイルのパーミッションを再確認します。
• 二段階認証をすぐに導入します。
• パスワード設定の強度を高めにし、例外を許さないようにします。
• 管理者権限を持つユーザーは、最低限の人数に絞ります。
• 不要なユーザーを作らないようにします。特にサーバ移転／サイトリニューアル時等は、退職したユーザーの削除を確認します。

WordPress運用時の基本的な対策

• WordPress本体とプラグインのアップデートを適切に行います。
• 開発が停止したプラグインを利用している場合、代替策をとります。
• 退職したユーザーを即時削除します。
• データベースを定期的に最適化します。肥大化した時に思わぬセキュリティホールが発生することを抑止します。

サーバの設定

• 定期的にバックアップを取得する。極論すれば「コンピュータはいつか必ず壊れ」ます。乗っ取りだけが脅威ではありません。いざという時に八方塞がりにならないよう、バックアップは定期的に取得しましょう。
• 海外からのWordPress管理画面へのアクセスを拒否する。どうしても海外からのアクセスが必要な時は、一時的に開放してすぐに閉じます。
• WAF（Web Application Firewall）を導入する。WAFを設定できるサーバを選びましょう。

情報収集

• WordPress関連サービスの情報を定期的に確認します。
• セキュリティに関する情報を収集し、常に最新の脅威に対応できるように備えます。

すでにお困りの場合

ぜひ、プロにご相談ください。