WordPressが狙われています!
WordPressはとても便利なCMS(コンテンツ・マネジメント・システム)です。
マキシデザインでもほとんどのお客様がWordPressでサイトを運営しています。
近年はさらに利用者が増え、世界中の全ウェブサイトの43.1%を占めているというデータもあります。
困ったことに利用者が多くなれば悪い人にも注目されてしまいます。
悪質なハッカーがWordPressを狙っています。
診断ソフトによるアラート警告
WordPressには診断ソフトを追加でき、サイトの脆弱性を診断できます。
下の画像のように警告アラートが出ている場合は早急に対策を実施すべきです。
ブルートフォース攻撃(ユーザー列挙攻撃)
WordPressは複数人がリモートで利用できるように設計されています。
リモートで利用するにはまずログイン画面からログインが必要です。
このログインに連続して想定されるIDとパスワードを総当りで攻撃してくるのがブルートフォース攻撃です。
すでにハッカーが訪問済
ハッカーというと映画や海外ドラマの中の出来事をイメージしてしまいますが、実際には身近なところまで来ています。
下の画像はマキシデザインHPのログイン履歴の一覧です。
それらしいIDで何回もログインを試みて失敗しているのが分かります。
ハックされるとどうなる?
ハッカーにログインされた場合、何が起こるでしょうか?
- コンテンツの改ざん
- 悪質なマルウェア(ウイルス)の設置
- 外部へのウイルス拡散
- 個人情報の収集
会社の看板でもある自社サイトが悪用され、大勢の方が被害を受けてしまいます。
当然、このような状態のサイトは放置できないためサーバー元から制限がかかります。
- ホームページ閉鎖
- レンタルサーバー使用停止
- ドメイン停止
以前、お客様のホームページがハックされ、コンテンツを改ざんされてしまいました。
このお客様はWordPress保守管理を契約していなかったため発見が遅れました。
サーバー元から連絡があったにも関わらず放置したためドメイン停止まで進んでしまいました。
何とか復旧できないかと相談があり、サーバー元と連絡をとり、数週間かかって復旧できましたが、とても大変な作業でした。
有効な対策
ユーザー列挙攻撃を無効化
セキュリティプラグインによりブルートフォース攻撃(ユーザー列挙攻撃)を無効化します。
XML-RPCを無効化
XML-RPCとは遠隔手続き呼び出しプロトコルのことです。
この遠隔操作を悪用したハッキングが横行しています。
一般的な使用方法であればXML-RPCは使用しないため、セキュリティプラグインによりXML-RPCを無効化するのが効果的です。
セキュリティ機能追加の内容
2024年4月22日(月)
WordPressを悪質なハッカーから守るセキュリティ機能追加を実施しました。
WordPress保守管理をご利用中であり、SSLを導入済みのサイトが対象です。
- セキュリティプラグインをインストール
- ユーザー列挙を無効化
- XML-RPCへの防御
使用するプラグインは安全性が確認された無料プログラムです。
まとめ
IT技術はとても豊かで便利な生活をもたらしてくれます。
しかしその反面、悪質な道具としても使われてしまいます。
ホームページは企業、団体、個人にとって必須のビジネスツールです。
マキシデザインはより安全で快適なホームページ運営を目指します。