WordPressは世界で最も利用されているCMSです。
世界中のWebサイトの約40%以上がWordPressで作られていると言われています。
しかしその一方で、
WordPressはサイバー攻撃の対象になりやすいシステムでもあります。
近年では
- サイトの改ざん
- マルウェアの埋め込み
- 不正広告の表示
- フィッシングサイトへの誘導
などの被害が増えています。
さらに怖いのは、企業が気づかないまま
加害者になってしまうケースもあることです。
例えば
- 自社サイトからウイルスが配布される
- 詐欺サイトの踏み台にされる
- 迷惑メール送信元になる
といったケースも実際に起きています。
この記事では、
WordPressが乗っ取られる主な原因と
企業サイトが行うべきセキュリティ対策を解説します。
企業サイトが必ず行うべきセキュリティ対策原因7選
WordPressが乗っ取られる原因① プラグインの更新不足
WordPressのセキュリティ事故で最も多い原因が
プラグインの脆弱性です。
プラグインは便利な機能を追加できますが
更新を怠るとセキュリティリスクになります。
古いプラグインには
- 脆弱性
- セキュリティバグ
が含まれていることがあります。
そのため
- 定期更新
- 不要プラグイン削除
が重要です。
WordPressが乗っ取られる原因② 古いPHPバージョン
WordPressはPHPというプログラム言語で動いています。
しかし
古いPHPを使っているサイトは
セキュリティリスクが高くなります。
サーバーのPHPが古いと
- セキュリティパッチがない
- 脆弱性が放置される
といった問題があります。
WordPressが乗っ取られる原因③ 弱いパスワード
意外と多いのが
- admin
- password
- company123
のような簡単なパスワードです。
こうしたパスワードは
ブルートフォース攻撃によって
簡単に突破されてしまいます。
安全なパスワードは
- 大文字
- 小文字
- 数字
- 記号
を組み合わせる必要があります。
WordPressが乗っ取られる原因④ ログインページ攻撃
WordPressは
/wp-admin
にアクセスすれば
ログイン画面が表示されます。
攻撃者はこのログインページに対して
自動ツールでログインを試みます。
これを防ぐためには
- ログイン制限
- セキュリティプラグイン
- IP制限
などの対策が必要です。
WordPressが乗っ取られる原因⑤ バックアップ未設定
サイトが改ざんされた場合でも
バックアップがあれば復旧できます。
しかしバックアップがない場合
- サイトが消える
- 復旧できない
という状況になります。
そのため
定期バックアップ
は必須です。
WordPressが乗っ取られる原因⑥ セキュリティ設定不足
多くの企業サイトでは
- セキュリティヘッダー
- HTTPS強制
- XSS対策
などの基本設定がされていません。
これらは
サーバー設定の知識
が必要になるため
格安制作では設定されないケースがあります。
WordPressが乗っ取られる原因⑦ 運用管理不足
WordPressは
公開して終わりではありません。
必要なのは
- 更新管理
- セキュリティ監視
- バックアップ
- サーバー管理
です。
これらを行わないと
セキュリティリスクが高まります。
WordPressサイトを安全に運用する方法
企業サイトを安全に運用するためには
- WordPress更新
- プラグイン更新
- セキュリティ設定
- バックアップ
- サーバー最適化
などの管理が必要です。
当社では
- WordPress保守
- セキュリティ対策
- サーバー管理
を含めた運用サポートを行っています。
ホームページのセキュリティに不安がある場合は
お気軽にご相談ください。
