WordPressはこうして侵入される
5つの手口と防ぎ方
「うちのサイトは小さいから狙われない」と思っていませんか? 攻撃者はサイトの規模を見ていません。脆弱性があるかどうかだけを見ています。 ボットが自動的にスキャンし、穴が見つかれば規模に関係なく侵入します。
#1ブルートフォース攻撃
ログインページに対して、パスワードの組み合わせを大量に試行する。「admin」「password123」のような単純なパスワードは数秒で突破される。
防御策:ログイン試行回数の制限、2段階認証の導入、wp-login.phpのURL変更。最低でも12文字以上のランダムなパスワードを使う。
#2プラグイン脆弱性の悪用
公開された脆弱性情報をもとに、未更新のプラグインを狙う。脆弱性情報の公開から攻撃開始まで数時間〜数日。ボットが自動的にスキャンして脆弱なサイトを見つけ出す。
防御策:プラグインを常に最新版に保つ。使っていないプラグインは削除する。WAFを導入して既知の攻撃パターンをブロックする。
#3ファイルアップロード攻撃
画像アップロード機能やコンタクトフォームの添付ファイル機能を悪用し、PHPバックドアをアップロードする。拡張子を偽装(image.php.jpg等)するケースもある。
防御策:アップロード可能なファイル形式を厳格に制限する。wp-content/uploads/でのPHP実行を.htaccessで禁止する。
#4XML-RPC攻撃
WordPressのXML-RPCインターフェースを悪用した攻撃。xmlrpc.phpを使うと、1回のリクエストで数百のパスワードを同時に試行できるため、ブルートフォースの効率が飛躍的に上がる。
防御策:xmlrpc.phpへのアクセスを.htaccessでブロックする。使っていなければ完全に無効化する。
#5共有サーバー経由の侵入
同じ共有サーバー上の別サイトが感染し、そこを踏み台にして侵入される。自分のサイトのセキュリティが万全でも、隣のサイトが脆弱なら被害を受ける可能性がある。
防御策:信頼性の高いホスティングを選ぶ。可能であれば専用サーバーやVPSを使う。ファイルパーミッションを適切に設定する。
攻撃の大半はボットが自動で行っている
「ハッカーが手動でサイトを狙っている」というイメージは間違いです。 攻撃の大半は、ボット(自動プログラム)が行っています。
ボットはインターネット上のWordPressサイトを片っ端からスキャンし、 既知の脆弱性があるサイトを見つけると自動的に侵入します。特に放置プラグインの脆弱性が狙われます。 つまり、「狙われている」のではなく「見つかっている」のです。
Wordfenceの統計によると、WordPressサイトは1日あたり平均数千回の攻撃リクエストを受けています。セキュリティ対策チェックリストで防御状態を確認しましょう。 ほとんどはWAFやファイアウォールでブロックされますが、1つでも通れば侵入されます。
マルウェアの不安を 今すぐ解消しませんか?
リバースハックはWordPress専門のセキュリティチームです。 マルウェア駆除から再発防止まで、ワンストップでサポートします。 まずはお気軽にご相談ください。
※ 相談は無料です。お見積もりだけでもお気軽にどうぞ。
この記事をシェア