WordPressサイトがハッキングされる理由とそれを防ぐ方法

最終更新日-2021年7月8日

WordPressは人気のあるコンテンツ管理システム（CMS）であり、Webサイトやブログの作成に使用されます。 WordPressの人気の理由の1つは、WordPressがいかにシンプルかということです。ユーザーは、WordPressを使用して、コーディングの経験がなくてもWebサイトのコンテンツを簡単に作成、変更、管理できます。 これにより、多くの企業や個人がWordPressを使用してサイトを構築するようになります。

W3techsによる最近のレポートによると、WordPressはすべてのWebサイトの34.5％で使用されています。 つまり、使用する3つおきのWebサイトはWordPressで構築されています。 CMSソリューションの中で、WordPressの市場シェアはさらに高く、すべてのWebサイトの60％以上がWordPressで実行されています。 Joomlaは2位ですが、かなりの差があり、サイト数の5〜10％で使用されています。

WordPressサイトがハッキングされるのはなぜですか？

インターネット上の他のどのWebサイトよりも攻撃に対して脆弱ではないかもしれませんが、WordPressサイトははるかに一般的であるため、ハッキングされる可能性が高くなります。 WordPressの絶大な人気を考えると、攻撃者はこれらのサイトで見つかった脆弱性を悪用する方法を見つけようとするより多くのインセンティブを持っています。

攻撃者がWordPressに脆弱性を発見した場合、インターネット上の他のほとんどのシステムよりもはるかに多くの標的が存在します。 さらに、WordPressはコーディングの経験がない多くのユーザーを引き付けるため、攻撃者が悪用できる脆弱性からWebサイトを保護するために必要な対策を講じる可能性ははるかに低くなります。 WordPressサイトがハッキングされるもう1つの理由は、「スポーツ」と練習のためです。 多くの初心者は、セキュリティが弱いサイトを見つけてハッキングスキルを練習し、改善する方法を見つけようとします。

WordPressウェブサイトがハッキングされる7つの方法とそれを防ぐ方法

WordPressサイトがハッキングされる一般的な理由のいくつかを理解し、それに応じて予防策を講じる必要があります。

弱いパスワード

パスワードはWordPressWebサイトのキーとして機能します。つまり、パスワードを保護するのに十分な強度があることを確認する必要があります。 調査によると、すべてのデータ侵害の約80％は、パスワードが弱いために発生しています。

修正方法：この脆弱性の修正は簡単です。強力なパスワードを使用してください。 たとえば、 LastPassなどのサードパーティのパスワードマネージャーを使用することもできます。

WordPressのユーザー名を変更しない

WordPressアカウントを開くと、ユーザー名は「admin」になり、誰もがこれを知っています。 このため、これは、脅威の攻撃者がWebサイトをハッキングしようとしたときに最初に試みるユーザー名です。 このアカウントはroot権限を提供し、サイトをゴミ箱に移動したり、接続されたネットワークにアクセスしたり、データを盗んだり、削除したり、身代金を要求したりするために使用できます。

修正方法：ユーザー名がadminの場合は、できるだけ早く別のユーザー名に変更してください。

安全でないウェブホスティング

WordPress Webサイトは、他のすべてのWebサイトと同様にサーバーでホストされます。 適切なプロバイダーを選択することは、Webサイトを保護するための鍵です。 このガイドに記載されている他のすべてのヒントを実装した場合でも、プロバイダーが弱い保護を提供していると、Webサイトがハッキングされる可能性があります。

修正方法：予算内で最適なWordPressホスティングプロバイダーを選択し、Webサイトが安全なプラットフォームでホストされていることを確認します。

不正なファイル権限

ファイルパーミッションは、WebサーバーがWebサイトに保存および使用されるファイルへのアクセスを制御するのに役立つホスティングサーバーによって使用されるルールです。 これらのファイルに誤ったアクセス許可を与えると、ハッカーがファイルにアクセスして変更する可能性があり、Webサイトにあらゆる種類の問題が発生する可能性があります。

修正方法：すべてのWordPressファイルが644の値のアクセス許可に設定され、すべてのフォルダーが755に設定されていることを確認します。

一般的なサイバー脅威に対する弱いセキュリティ

最も強力なパスワードを使用し、最も安全なホストを使用している場合でも、サイバー攻撃に対して脆弱です。 たとえば、SQLインジェクションは、Webサイトをマルウェアに感染させるために使用される一般的な攻撃です。

修正方法：最も一般的な脅威と、これらの脅威からWebサイトを保護する方法について説明します。 開始するのに適した場所は、 OWASP（Open Web Application Security Project）のトップ10であり、最も差し迫った10の脆弱性の詳細を示したリストです。 OWASPは、サイバーセキュリティ慣行を改善するために使用できる教育リソースも提供します。

古いバージョンのWordPressを使用する

一部のWordPressユーザーは、Webサイトにエラーが発生する可能性があるため、Webサイトを最新バージョンのWordPressに更新することを恐れています。 ただし、これらの更新の多くはセキュリティホールにパッチを適用するためにリリースされているため、更新を回避することは深刻な問題です。

修正方法：最新のバグ修正とセキュリティパッチを確実に入手できるように、常に最新バージョンに更新する必要があります。 更新によってWebサイトが混乱する可能性がある場合は、特にバージョンを更新する前に、完全なWordPressバックアップを作成することをお勧めします。

古いテーマまたはプラグインを使用する

WordPressのテーマとプラグインは、実行するコアソフトウェアとそれほど違いはなく、更新を維持することも同様に重要です。古いバージョンは脆弱性にさらされる可能性があります。

修正方法：すべてのテーマとプラグインの最新バージョンがあることを確認してください。

要約

WordPressのウェブサイトは常にハッキングされています。 これは事実であり、そのように対処する必要があります。 EコマースWebサイトは、通常のサイトよりも多くの報酬を提供するため、攻撃に対して特に脆弱です。 多くのトランザクションを処理する成功したeコマースプラットフォームは、多くの場合、機密情報を保存します。

Webサイトが侵害された場合、攻撃者は情報を盗む可能性があります。 これにより、特にWebサイトが欧州連合に関連するユーザーにサービスを提供している場合、Webサイトは悪い状況に置かれます。 この情報は、「欧州連合および欧州経済領域のすべての個人市民」の機密情報を保護する一般データ保護規則（EU GDPR）によって保護されています。 GDPRに違反すると、経済的および評判の低下につながる可能性があります。

覚えておくべきもう1つのコンプライアンスエンティティは、クレジットカード所有者の機密情報と財務情報を保護するPayment Card Industry Data Security Standard（PCI DSS）です。 PCIは、クレジットカードデータを処理、保存、送信、および接触するすべての加盟店に適用されます。 つまり、eコマースプラットフォームはPCIに準拠する必要があります。 PCIは、罰金によってコンプライアンスを強制する主要なクレジットカード会社によって維持および規制されています。