WordPressの脆弱性は?被害事例と危険性、対策方法について

2022.08.01

WordPressは、プログラミング知識がなくてもWebサイトを簡単に立ち上げることが可能なツールです。W3Techsの調査によると、2021年時点でWebサイトのおよそ4割がWordPressで制作されてます(※1)。

WordPressは、世界1位のCMS(コンテンツ・マネジメント・システム)で便利なツールですが、セキュリティ対策を怠ると悪意のある第三者から脆弱性を突かれて攻撃されてしまうリスクがあります。この記事では、Wordpressが抱えるセキュリティリスクや被害事例、対策方法について紹介します。

※1参考:W3Techs – Usage Statistics and Market Share of WordPress, September 2021

WordPressは世界1位のCMSだが脆弱性がありサイバー攻撃のターゲットにされやすい

脆弱性とは、システムやプログラムのセキュリティ面の弱点を突いて侵入を行い個人情報の漏洩やWebサイトの改ざんなどの影響を与えることを指します。Wordpressは世界1位のCMSになりますが、汎用性を高めるためにプラグインを利用しています。プラグインとは、任意の機能を追加したり削除したりできる便利なアプリケーションを指します。このプラグインによって情報窃取や改ざん、システム破壊などのリスクがあります。

つまり、脆弱性を突いた攻撃は、Wordpressに直接の場合もあればWordpressプラグインに攻撃が及ぶ場合もあります。

WordPressの脆弱性がある理由とは?

WordPressは、全世界で利用されており多くのプラグインが個人や企業によって開発されています。プログラムのソースは、一般的に広く公開されておりソースを公開していないアプローチよりも脆弱性を見つけることが容易になります。セキュリティ対策を施さないまま、プラグインをリリースしてしまう場合もあるため、利用する際は定期的なバージョンアップやセキュリティ対策ソフトを利用することが重要です。Wordpressに脆弱性がある理由として、下記の3つが挙げられます。

  • WordPressは世界でもっとも利用されるCMSであるため
  • ソースコードが公開されているオープンソースであるため
  • 簡単に使えるWordPressユーザーにセキュリティ意識の低い初心者が多いため

WordPressは世界でもっとも利用されるCMS

WordPressは、世界中で利用されているCMSと認識している人が多いため脆弱性を突いた攻撃が後を絶ちません。利用数が多いということから、ユーザー名やパスワードを総当たりで攻撃するブルートフォースアタックや不正なコードを仕込ませるクロスサイトスクリプティングの攻撃が代表的なものとして挙げられます。

ソースコードが公開されているオープンソース

WordPressで利用されるプラグインは、ソースを一般公開している場合が多いため脆弱性を突くことが容易になります。ソースの改変やHTMLやJavascriptなどを利用した不正なコードを挿入することで脆弱性を突くことが可能です。

簡単に使えるWordPressユーザーにセキュリティ意識の低い初心者が多い

WordPressを利用する人の多くが、セキュリティ意識が高い人とは限りません。個人でブログを開設する際にもWordpressを利用しますが、多くがセキュリティ意識の低い初心者になります。セキュリティ意識の低い人であれば、脆弱性対策のパッチやアップデートを行う認識がないので比較的容易に侵入されてしまう傾向にあります。

WordPressが抱える危険性(セキュリティリスク)とは

WordPressは世界ナンバーワンの利用率を誇るCMSであり、シェア率は6割を超えていると言われています。しかし、その圧倒的な利用率の高さがセキュリティリスクを高めている要因であるともいえます。実際にWordPressを導入しているウェブサイトに対する攻撃は頻繁に報告されています。下記では、攻撃の手口やWordPressのリスクについて4つ解説していきます。

  • 不正アクセス
  • Webサイト改ざん
  • 意図せぬ犯罪への加担
  • 情報漏えい

不正アクセス

WordPressは世界で広く利用されており、プログラムのソースは一般的に広く公開されているため脆弱性を容易に見つけることができます。攻撃者はその何らかの脆弱性を突き、WordPressのデータベースや管理画面への不正アクセスを実行します。不正アクセスされると、情報の改ざんが行われたり機密情報の窃取など重大な被害を被るというリスクがあります。

Webサイト改ざん

不正アクセスされることによって、Webサイトの情報が不正に改ざんされるというリスクも考えられます。Webサイトの改ざんによって、Webサイトに訪問したユーザーを偽ページに誘導したり、悪意のあるソフトウェア(マルウェア)をダウンロードさせようとするなどが攻撃者によって行われます。

意図せぬ犯罪への加担

Webサイトの改ざんにより、サイトに訪問したユーザーにウイルス感染などのリスクを与えるだけでなく、DDoS攻撃の拠点にされるなど意図せぬ犯罪に加担するなどのリスクを負うなどのケースもあります。

情報漏えい

Webサーバーに存在する個人情報や機密情報などが漏えいするリスクもあります。もしそれらの情報が漏れてしまうと、会社全体の信頼が損なわれるイメージダウンするだけでなく、損害賠償などの訴訟に発展する可能性もあるため、十分に注意する必要があるでしょう。

WordPressによる被害事例一覧

WordPressによる被害は具体的にどのように生じるのでしょうか。過去に実際に起きた被害事例を2つ紹介していきます。

  • 企業のWebサイトがWordPressの脆弱性により改ざん、外部サイトへ誘導
  • 企業のWebサイトがスパム攻撃の踏み台にされる

企業のWebサイトがWordPressの脆弱性により改ざん、外部サイトへ誘導

2021年にある企業が、WordPressの脆弱性を突いたWebサイトの改ざん被害にあいました。Webサイトにアクセスすると、偽ページが設置されている外部サイトに誘導される状態になっていました。この被害が生じた原因はWordPress本体が最新状態にアップデートされておらず、脆弱性が放置されていたことでした。当該Webサイトのデータが保存されていたレンタルサーバーが、最新のWordPressに対応しておらずCMS本体がアップデートできていませんでした。このとき、機密情報や個人情報はサーバー内に保存されていなかったため、幸い情報漏えいはありませんでした。この被害発生後に同社では、WordPressをアップデートし常に最新状態に保つことと、WAFを導入するという方針を示すに至りました。

企業のWebサイトがスパム攻撃の踏み台にされる

2017年に女性向けファッションを展開している企業のWebサイトが、プラグインの脆弱性を突かれたことによる不正アクセスの被害を受けました。WordPressとプラグインをアップデートせずに古い状態のまま放置していたことが原因でした。Webサイトが改ざんされたことによりメール送信機能も悪用されて大量のスパム攻撃の踏み台にされました。

WordPressの脆弱性に対するセキュリティ対策

WordPressは導入する際にコストがかからず、Webサイトを効率的に行えるなど利便性が高いCMSですが、一方で脆弱性があり攻撃を受けやすいという課題点もあるため確実なセキュリティ対策を行う必要があります。下記では、WordPressの脆弱性に対するセキュリティ対策6つについて解説していきます。

  • ログインパスワードを複雑にする
  • ニックネームは初期のものにしない
  • セキュリティ系のプラグインを導入
  • WordPressプラグインを最新バージョンにして使っていないプラグインを削除
  • ログインページのURLを変更
  • レンタルサーバーのセキュリティ機能を活用

ログインパスワードを複雑にする

まず、WordPressの管理画面への不正アクセスを防ぐ基本的な対策としてはパスワードを強化することが挙げられます。管理画面にログインする際のパスワードは、他人に察知されやすかったり誰でも簡単に想像がつくようなパスワードは避けて複雑な構成で設定しましょう。パスワードを設定するどの場面においても基本的なことですが、15桁以上の長めに設定しておくことをおすすめします。また、小文字や大文字、数字・記号などを織り交ぜるようにしましょう。長い文字列で複雑な構成であるほど安全性が高まります。同じアカウントを複数人で共有することも、問題やトラブルが発生したときに解決までに時間を要する場合があるため避けましょう。個別にアカウントを設定することでインシデントが発生してもしっかり原因究明を行うことができます。また、パスワードの使いまわしも避けるようにしましょう。

ニックネームは初期のものにしない

ニックネームの設定は必ず行うようにしましょう。WordPressで設定したニックネームは記事末尾の投稿者名、プロフィールなどとして表示されるものです。初期ではログイン時に利用される「ユーザー名」が表示されるという仕組みになっており、そのままではログイン情報が筒抜けになります。そのため、初期のものとは別のニックネームを設定するようにしましょう。

セキュリティ系のプラグインを導入

セキュリティ系のプラグインを導入しておけば、基本的なセキュリティ対策を行うことができます。ログインページのURL変更やログイン時の画像認証追加など、徹底した不正アクセス防御機能を持つプラグインを導入するのがおすすめです。更新するべきプログラムなどがあればメールで通知を受け取ることができますので、アップデート忘れによる攻撃などを防ぐことができます。

WordPressプラグインを最新バージョンにして使っていないプラグインを削除

WordPressの更新ではバグの改善や機能の追加だけでなく、セキュリティ上の改善なども含まれています。WordPressプラグインを常に最新バージョンにアップデートしておくことで、脆弱性を突いた攻撃などを防止できます。また、攻撃を受ける確率をできるだけ減らすためにも現在使っていないプラグインは削除しておきましょう。WordPressプラグインは利便性が高いものが多く複数使用してしまいがちですが、セキュリティ対策上、数が多すぎるため必要最低限のものだけに厳選するようにしましょう。

ログインページのURLを変更

WordPressのログインページのURLを変更するのも効果的です。しかし、WordPress本体にはログインページのURLを変更する機能がないため、「SiteGuard WP Plugin」や「WPS Hide Loguin」、「Login rebuilder」といったプラグインを導入することで自動で新しいログインページのURLを作成していきましょう。

レンタルサーバーのセキュリティ機能を活用

WordPress側のセキュリティ対策だけでは不十分な場合もあるため、レンタルサーバー側のセキュリティ機能も活用していきましょう。レンタルサーバー側のセキュリティ機能は具体的にログイン回数制限、SSL化、攻撃検知、通信遮断などがあります。レンタルサーバーによって無料のものや費用が発生するものがあるため、事前に料金やどのような機能が備わっているかを確認してから活用するようにしてください。

Librusの脆弱性診断なら

脆弱性診断とは、ネットワークやOS、ミドルウェアやウェブアプリケーションなどに脆弱性がないかを診断するサービスのことです。一般的な脆弱性診断サービスは費用が多くかかってしまうという課題点がありますが、Librusの脆弱性診断は完全成果型のサービスを展開しており、必要な機能だけを利用したい方におすすめです。脆弱性診断専用のツールやクラウド診断もあるため、これから脆弱性診断サービスを導入したいという方はぜひLibrusの脆弱性診断をご検討ください。

【セキュリティソリューションのご紹介】

Librus株式会社では企業のサイバー攻撃被害に備え、毎月10万円でホワイトハッカー、弁護士、ブランドコンサルタントをまとめてアサインできる 「セキュアナイト」というサービスを提供しております。
https://secureknight.jp/

またサイバーセキュリティに関するアドバイザリーやセキュリティ診断(脆弱性診断、侵入テスト)、デジタルフォレンジック(システム復旧支援中心)においても豊富な実績がございます。

ご相談は無料ですので、いつでもお気軽にお問い合わせください。


問い合わせフォーム
https://librus.co.jp/contact

メール
info@librus.jp

資料請求
https://tayori.com/form/bcca83c49d8fd253395a909cb8cfcb899d32af72/

VIEW ALL
© 2020 LIBRUS Co., Ltd All rights Reserved .