WordPressのWebサイトを運営している中で、「ログイン情報を変更するのが面倒」や「バージョンアップしないほうが使いやすい」などの声をよく耳にしますが、これらはセキュリティ面からするとかなり危険な行為と言えます。
実はWordPressには脆弱性があり、しっかりとしたセキュリティ対策をしないとサイバー攻撃を受けてしまうリスクがあるのです。
そこで本記事では、WordPressで脆弱性がある理由やセキュリティ対策の必要性、サイバー攻撃の事例などについて詳しく解説します。
WordPressでセキュリティ対策は必要なのか?
結論から申し上げますと、WordPressに置いてセキュリティ対策は必要不可欠な施策です。
WordPressは世界各国で使用されている「コンテンツ管理システム(CMS)」として知られており、Webサイトのデータ収集を行っているW3Techs(World Wide Web Technology Surveys)によるとCMSのうちWordPressのシェア率はなんと世界中で63.3%、日本国内においては83.2%高い割合となっています。(参考:W3Techs「Usage statistics of content management systems」)
”世界中で使用されているから”という理由で安全性が高いと勘違いされやすいですが、実はWordPressには度々脆弱性が問題視されており、適切なセキュリティ対策をしないと悪質なサイバー攻撃を受けてしまう可能性もあるのです。
WordPressのセキュリティを強化するためのプラグインとして世界トップシェアを誇る「Wordfence」のレポートによると、2020年に発生した悪質なログインからのブロック件数は900億件数以上にのぼると言われています。(参考:Wordfence「The Wordfence 2020 WordPress Threat Report」)
Wordfenceを利用しているユーザーだけで900億以上の悪質なログインがあるということは、すべてのユーザーへの悪質なログインを考えると想像できないほど多くのユーザーが被害に遭っているのでしょう。
このような理由から、WordPressでのセキュリティ対策は必要不可欠と言えるのです。
WordPressに脆弱性がある理由
WordPressに脆弱性がある理由は以下の通りです。
- 利用者が多いから
- 無料のオープンソースだから
- 利用者のセキュリティに対する知識がないから
それぞれの理由について、以下で詳しく解説します。
1.利用者が多いから
WordPressがハッカーから狙われてしまう最大の理由は利用者が多いことにあります。
ハッカー目線で考えると、利用者が多いプラットフォームをサイバー攻撃の対象にしたほうが効率がいいため、世界中で多くの人に利用されているWordPressがターゲットになってしまうのです。
その結果、ハッカーによって脆弱性が発見されやすくなります。
2.無料のオープンソースだから
WordPressは無料で誰でも利用することのできるオープンソースであるため、脆弱性を見つけやすいのです。
そもそもオープンソースは「誰でも自由に内部構造を確認して改善できる」ということが前提に開発されているため、オープンソースではない有料のCMSに比べると脆弱性を発見されやすくなってしまうのです。
3.利用者のセキュリティに対する知識がないから
WordPressはプログラミングの知識がなくてもテーマやプラグインなどを利用して誰でもWebサイトを作ることができますが、利用者にITの知識がない場合は適切なセキュリティ対策をすることができません。
そのため、Webサイトを開設しても脆弱性を発見されてしまいサイバー攻撃を受けるリスクが高まってしまうのです。
WordPressのセキュリティによるリスク
WordPressのセキュリティによるリスクは以下の通りです。
- 情報の改ざん
- 情報漏えい
- 大量の迷惑メールが送信される
それぞれのリスクについて、以下で詳しく解説します。
1.情報の改ざん
WordPressで構築したWebサイトがハッキングされると、更新した情報やプログラミングの記述が書き換えられてしまうなどの情報の改ざんが行われるリスクがあります。
情報の改ざんにはさまざまなな被害が想定され、コンテンツを適当に書き換えられるイタズラ程度の内容もあれば、Webサイトでは処理できないほどの大量の負荷をかけてWebサイトをダウンさせる「DDoS(ディードス)攻撃」、さらには広告内容を別の収益者のものに書き換えられるなどの事例があります。
また、Webサイトのプログラミングコードを改ざんされてしまうと、犯罪で利用されるWebサイトに自動アクセスしてしまうなど、運営者の責任に問われるようなリスクもあるのです。
このように、情報の改ざんは運営者だけではなくWebサイトの訪問者にも大きなリスクが伴い、Webサイト運営者の管理不足として責任に問われる場合もあります。
2.情報漏えい
WordPressがハッキングされてしまうと個人情報を抜き取られてしまう可能性があります。
Webサイト上では、Cookieやメールアドレス、クレジットカード情報、氏名、住所など、さまざまな個人情報を取り扱うことも多く、それらの管理責任はWebサイト運営者にあるのです。
そのため、ハッキングされた場合はWebサイト運営者が情報漏えいとして責任を負うことになってしまいます。
3.大量の迷惑メールが送信される
WordPressがハッキングされてメール送信プログラムが埋め込まれてしまうと、Webサイトを経由して大量のメールが送信されてしまうリスクがあります。
中には、あたかもWebサイトからの案内メールかのように装って個人情報を抜き取ろうとするメールや、アクセスするだけでウイルスに感染してしまうリンクが貼られたメールなども考えられます。
また、不特定多数のメールアドレスから自身のWordPressのメールアドレス宛に大量のメールが届くことも珍しくありません。
WordPressの脆弱性を狙ったサイバー攻撃の事例
WordPressの脆弱性を狙ったサイバー攻撃には以下のような事例があります。
- 「WP File Manager」へのサイバー攻撃
- 「REST API」へのサイバー攻撃
それぞれの事例について、以下で詳しく解説します。
1.「WP File Manager」へのサイバー攻撃
「WP File Manager」はWordPressの管理画面からサーバー上にファイルのアップロードや削除ができるプラグインですが、外部から勝手にファイルのアップロードや削除ができるという脆弱性が発見されたのです。
外部から悪意のあるファイルをアップロードされてしまった結果、Webサイトが正常に表示されなくなってしまったり、悪質なサイトへリダイレクトされるなどの被害が発生しました。
なお、現在は脆弱性については修正されています。
2.「REST API」へのサイバー攻撃
2017年に更新されたWordPress4.7にて初導入された「REST API」の脆弱性を突いたサイバー攻撃が発生しました。
「REST API」には特定のリクエストを送ることでサイトの改ざんを誰でも行えるような脆弱性が発見され、それにより155万件のWebサイトが情報改ざんの被害を受けたと言われています。
WordPressも脆弱性が発見されてからすぐに修正を行ったものの、ハッカーたちは短時間で多くのWebサイトに被害を出したのです。
WordPressで必要なセキュリティ対策
WordPressのセキュリティ対策には以下のようなものがあります。
- プラグインを導入する
- ログイン情報をこまめに変更する
- WordPressのバージョンアップを行う
それぞれのセキュリティ対策について、以下で詳しく解説します。
1.プラグインを導入する
WordPressの基本的なセキュリティ対策はプラグイン(拡張機能)を導入することで行えます。
ただし、先ほどもお伝えした通りプラグインそのものに脆弱性が見られる場合もあるため、信頼できる運営元のプラグインを選ぶことが大切です。
代表的なセキュリティ対策のプラグインとしては、「SiteGuard WP Plugin」や「All In One WP Security & Firewall」などが挙げられます。
2.ログイン情報をこまめに変更する
WordPressのログインパスワードを複雑にすることはもちろん、定期的にログイン情報を変更することで不正ログインからWebサイトを守ることができます。
WordPressの不正ログインの中には、数字や文字列を何度もパスコード欄に入力して不正アクセスする「ブルートフォースアタック」と呼ばれるサーバー攻撃もあるため、ログイン情報はできるだけ複雑なものに設定することが大切です。
3.WordPressのバージョンアップを行う
WordPressは定期的にバージョンアップされていますが、機能改善やバグの修正だけではなく脆弱性の改善もされることがあるため、迅速にバージョンアップすることが大切です。
また、プラグインやテーマについてもバージョンアップは行うようにしましょう。
まとめ|WordPressのセキュリティ対策はしっかりと行うべき
本記事では、WordPressで脆弱性がある理由やセキュリティ対策の必要性、サイバー攻撃の事例などについて詳しく解説しました。
WordPressではプラグインを使用することでサイバー攻撃を防ぐことはできますが、それでも可能性は0とは言えないため、バージョンアップを迅速に行うことやログイン情報を更新するなどの対策が必要となります。
ぜひ本記事を参考にしてWordPressのセキュリティ対策の必要性について押さえてみてください。