WordPressの脆弱性対策してる？攻撃事例と簡単にできる対策方法

WordPressは気軽にブログやサイト運営ができるツールとして世界中で利用されている一方、WordPressの脆弱性（ぜいじゃくせい）を狙った攻撃が相次いでいます。

脆弱性を狙った攻撃を受けてしまうと、データが改ざんされたり、消えてしまったりします。しかしWordPressの脆弱性や、攻撃事例を事前に知っておくことで、攻撃をうけるリスクを下げれます。

そこで本記事では、以下の内容をご紹介します。

＜本記事の内容＞

• WordPressの脆弱性とは？
• WordPressの脆弱性を攻撃する例
• WordPressプラグインの脆弱性を狙った攻撃事例
• WordPressの脆弱性対策をする5つの方法

WordPressの脆弱性とは？

「脆弱性」はあまり聞きなれない言葉かもしれませんが、簡単に言うと「WordPressのシステムに何らかの欠陥や不具合があること」です。ハッカーや悪意のある第三者はその脆弱性を突いて、データ改ざんやウイルス感染を狙っています。

WordPressは無料で使えるオープンソースのCMS（コンテンツ管理システム）なので、誰でもソースコードや構成ファイルを確認できます。

＜オープンソースとは？＞

ソースコードへのアクセスが開かれていることを意味するのではなく、ソースコードを商用、非商用の目的を問わず利用、修正、頒布することを許し、それを利用する個人や団体の努力や利益を遮ることがないソフトウェア開発の手法を意味する。

（引用：ウィキペディア）

WordPressは誰でも無料で使えて、自由にカスタマイズができる反面、脆弱性が発見されやすいデメリットがあるのです。

たとえば『アメーバブログ』や『はてなブログ』などのブログサービスは、運営会社が定期的にメンテナンスや脆弱性の対策をしているので、比較的安心して利用できます。

一方のWordPressは、基本的にはすべて自分で管理運営を行う必要があります。

つまりWordPressでサイトやブログを運営する場合は、自分でセキュリティ対策や脆弱性の対策をしないと、不正アクセスが発生する可能性が高まるのです。

WordPressの脆弱性を狙った攻撃の種類

WordPressの脆弱性の基本がわかったところで、脆弱性を攻撃する種類についてご紹介します。

よくあるWordPressの攻撃例は以下のとおりです。

• コンテンツインジェクション
• SQLインジェクション
• ブルートフォースアタック
• クロスサイトスクリプティング
• ファイルの改変

どんな攻撃の種類があるか事前に知っておくと、事前の対策に役立つでしょう。

コンテンツインジェクション

「コンテンツインジェクション」とは、Webサイトやブログのコンテンツを攻撃することです。外部から不正なコードを送る事でコンテンツが改ざんされます。

Webサイトの中身に不正なリンクが挿入されると、スパムサイトに誘導される可能性もあります。

このコンテンツインジェクションによる攻撃で、Webサイトが改ざんされた事例がいくつもあります。

SQLインジェクション

「SQLインジェクション」は、SQL（データベース）を攻撃することです。

データベースとは、記事や会員情報などのデータが保管されている場所のことです。SQLインジェクションを受けると、個人情報の漏洩やデータ改ざんのおそれがあり、大きな被害につながります。

WordPressでECサイトを運営していれば、クレジットカード番号が盗まれてしまう可能性もあるので、金銭的なトラブルにもつながります。

最近だと『釣りビジョン』というWebサイトで、メールアドレス／氏名／住所などの個人情報が6万件以上盗まれる事件がありました。

ブルートフォースアタック

「ブルートフォースアタック」は、管理画面にログインするときにあらゆるパスワードの組合せを試し、不正にログインする攻撃です。別名「総当たり攻撃」とも言われています。

ブルートフォースアタックによってWordPressの管理画面に侵入されてしまうと、データの改ざんはもちろん、個人情報までもが第三者に盗まれてしまいます。

クロスサイトスクリプティング

「クロスサイトスクリプティング」とは、悪意のあるスクリプトを埋め込んだURLをサイトに投稿し、変なサイトに誘導したり、ポップアップを表示させたりすることです。

ユーザーが誤ってそのURLをクリックすると、悪意のある別のWebページに飛ばされ、ユーザーの個人情報が流出したり、マルウェア感染するなどの被害が発生します。

Twitterや掲示板サイト、WordPressのコメント欄など、テキストやURLを誰でも投稿できるWebアプリケーションを利用した攻撃手法です。

ファイルの改変（悪意のあるスクリプトの埋め込み）

WordPressの脆弱性を狙ったよくある攻撃として、悪意のあるスクリプトを埋め込んだファイルの改変があります。

とくに、バージョン4.7.2以下の古いサイトWordPressが標的にされています。

WordPressの脆弱性を狙った攻撃の具体的事例

次に、WordPressの脆弱性を狙った攻撃事例をご紹介します。

些細な脆弱性であっても、とてつもない大きな被害が出ている事例が多いので、注意が必要です。

＜WordPressの脆弱性を狙った攻撃事例＞

• WordPressのREST API脆弱性で155万サイトが改ざん被害
• WP GDPR Complianceプラグインに脆弱性

注目したいのは、WordPress本体だけでなく、Wordpressにインストールされているプラグインの脆弱性も狙われている点。

WordPressプラグインは、インストールするだけで簡単にさまざま機能が使える便利なツールです。しかしセキュリティ面は開発者に委ねられるので、開発者が頻繁にアップデートしないと攻撃されやすくなってしまいます。

WordPressのREST API脆弱性で155万サイトが改ざん被害

WordPress4.7から標準搭載されるようになったREST API。このREST APIの処理の脆弱性を突いて攻撃が行われ、155万のサイトが改ざんされました。

WordPress向けのセキュリティプラグイン『Wordfence Security』を提供している米Feedjitは、RESET APIを「WordPressに関連する脆弱性のうち、最悪のもの」と評価しています。

（参考：155万サイトが改ざん被害、WordPressのREST API脆弱性を20のグループが攻撃、米Feedjit報告）

WP GDPR Complianceプラグインに脆弱性

『WP GDPR Compliance』とは、EU諸国のプライバシー保護にかかわる法律（GDPR）を管理者が簡単に遵守できるよう開発されたプラグインです。

そんなプライバシーの保護をするためのプラグインに、脆弱性が見つかってしまったのです。

権限を持たないはずの攻撃者が脆弱性を突いてWebサイトの設定を変更し、管理権限を追加して、自由に利用できてしまいました。これを悪用すれば、マルウェアの埋め込みにも繋がりかねません。

なおその後WP GDPR Complianceは、アップデートにより脆弱性に対応しました。

（参考：緊急！WP GDPR Complianceに脆弱性）

WordPressの脆弱性対策をする5つの方法

WordPressの脆弱性の危険性について解説しましたが、どのようにして脆弱性を対策をすればよいのでしょうか。今回は簡単にデキる、以下の5つの方法を詳しくご紹介します。

＜WordPressの脆弱性対策する方法＞

• WordPressを最新の状態にする
• プラグインをアップデートする
• 管理画面のセキュリティを強化する
• 使用していないプラグインを削除する
• こまめにバックアップをとる

WordPressを最新の状態にする

まずはWordPress本体のバージョンを最新にしておきましょう。

WordPress本体のアップデートは、新しい機能が使えるようになるだけではなく、セキュリティを高めることもできます。

WordPressでサイト運営するときは、WordPressのアップデートがあるか定期的にチェックする癖をつけておきましょう。

WordPressプラグインをアップデートする

WordPress本体だけでなく、プラグインのアップデートもする必要があります。

プラグインをアップデートする理由は以下のとおりです。

• 新しい機能を使うため
• セキュリティを強化するため
• WordPress本体との互換性を保つため

しかしプラグインをアップデートすると、Wordpressテーマや他のプラグインとの相性により正しく動作しなくなる可能性もあるので、アップデートは慎重に行いましょう。

以下の記事でプラグインのアップデート方法と注意点について解説しています。

管理画面のセキュリティを強化する

WordPressの管理画面のセキュリティを強化しておきましょう。

やるべきセキュリティ対策としては以下の対策が有効です。

• パスワードを強化する
• URLを「wp-admin」のようなシンプルなものにしない
• 二段階認証にする

二段階認証を導入するためのプラグインついては、以下の記事で解説をしています。

使用していないプラグインを削除する

普段あまり使用していないプラグインは脆弱性を狙われる原因になるので、削除しておきましょう。

またインストールするプラグインを選ぶときは、以下の点に気をつけてください。

• アップデートの更新頻度が低い
• 認知度、インストール数が少ない
• 日本語の解説記事や情報が少ない

プラグインの入れすぎも脆弱性にむすびつきます。プラグイン選びも慎重に行い、本当に必要なプラグインのみをインストールするようにしましょう。

こまめににバックアップをとる

万が一脆弱性を狙ったサイバー攻撃を受けた場合を想定して、事前にバックアップを取っておくと安心です。

また、先ほど解説した脆弱性対策するときにWordPress本体をアップデートしたり、プラグインをアップデートする必要がありますが、その際にもバックアップを取る癖を付けておきましょう。

バックアップを取るべきデータは以下のとおりです。

• 記事データ（データベース）
• 画像ファイル
• テーマファイル
• プラグインファイル
• WordPress本体（カスタマイズしている場合）

バックアップの取り方については、以下の記事を参考にしてください。

まとめ

• WordPressは脆弱性を発見されやすい
• 常に最新のバージョンを使うことを心がける
• 定期的にバックアップを取っておけば安心

（執筆：HikoPro　編集：Mizuki Sato）