悩んでいる人
知人のWordPressアカウントが乗っ取られてしまったらしいです…。そうならないためには、どんな対策をしたらいいですか?
こうぺい
大切な財産であるwebコンテンツが消えてしまうだけでなく、ウイルスや個人情報抜き取りなどの被害にも繋がります。対策は、誰でも簡単にできるものばかりですよ。
ここで、本当にあったWordPress乗っ取り怖い話をご紹介いたしましょう…。
fa-lightbulb-o
その1
- サイトを訪れると自動的にプログラムが作動する、別のサイトに飛ばされるなどの改ざんが、見ず知らずのうちに勝手に行われてしまう。2017年には、150万を越えるサイトが被害にあう…。
fa-lightbulb-o
その2
- 登録していた自分のメールアドレスが悪用され、1日10,000件もの迷惑メールを送る不正プログラムが仕込まれてしまった…実際に、自分のメールアドレスから、膨大な数の見知らぬ人への迷惑メールが送られている…。
fa-lightbulb-o
その3
- 自分のWordPressアカウントにログインができない。これまで書いてきた記事内容はすべて消え、詐欺サイトと思われる通販サイトに飛んだり、見知らぬ広告が並んでいたりする。 この詐欺サイトを訪れた人が個人情報を入力してしまったら、その情報はどうなってしまうのか…。
WordPressは、基本的には無料で使えるサービスです。
乗っ取りなどの不正なアクセス被害にあったとしても自己責任。かねてより、WordPressの脆弱性は問題視されており、ユーザー個人のセキュリティ管理や対策が大切と言われてきました。
対策には専門知識が必要なわけではありません。基本的なセキュリティ対策をしておくことが大前提です。
この記事では、時間も手間もかからない事前にやっておくべき対策4つ、そして、もしも乗っ取り被害にあってしまったらすみやかにやるべき対応策についてご紹介します。
fa-checkこの記事の信頼性
安全に楽しくWordPressを使いこなすための基本的な対策を知ることで、自分自身やサイトを訪れてくれるユーザーをハッカーの魔の手からしっかり守りましょう。
コンテンツ
なぜWordPressは狙われるのか
前述のとおり、WordPressは無料で誰でも使えるコンテンツです。それゆえにセキュリティの弱点があることは容易に想像できますが、実はWordPressが狙われるポイントはもうひとつあるのです。
それは、WordPressユーザーが世界中でも数多く存在することです。
世界中で公開されているホームページの約4割は、WordPressを利用したものだとも言われます。
ユーザーが多いということは、その分情報収集がしやすいということ。
WordPressへの攻撃パターンが把握できれば、世界中の3分の1のサイトへの攻撃パターンが掴めるということです。あなたがハッカーなら、こんな美味しい話、見逃しませんよね。
また、ユーザーが多いとプラグインの数も大変豊富。
利用者としてはありがたいことですが、数が多ければ多いほどプログラムの不具合やミスが起こりやすい、つまりセキュリティに問題が出る可能性が高くなるということです。
fa-lightbulb-o
ポイント
WordPressの脆弱性は、そのユーザーの多さゆえ。
- 攻撃パターンが解析されやすい
- 使用ツール(プラグイン)が多い
⇒安全性に粗がでやすい。
また、自分のサイトが乗っ取られて悪用されてしまった場合、それによって世界中の見知らぬ人が詐欺の被害にあったり個人情報を抜き取られてしまったりする可能性があるのです。
WordPressユーザーである私たちひとりひとりが乗っ取り対策をきちんと行うことで、自分自身だけでなく他のWordPressユーザー、サイトを訪れる人たちを守ることにも繋がります。
WordPress乗っ取り対策 まずやるべき3つのこと
いまから紹介する対策は、WordPressに限ったことではありませんので、ぜひ今一度ご自身のあらゆるセキュリティ対策として読んでいただけたらと思います。
パスワードの強化
乗っ取りの手法として最も多い方法は、パスワードの解析です。総当たり攻撃とも呼ばれます。ドラマや映画などで、なにやら特殊な機械を使ってロックを破る凄腕ハッカー…なんて演出をよく見かけますが。
実は、特殊な機械なんて使わなくてもパスワードの解析は一瞬なのだそうですよ。
数字のみ10桁、100億通りものパターンを総当たり攻撃するのにかかる時間は、たった3秒なのだとか。
以下のパスワードは、特に推測されやすく、世界中でも多く使われているものです。
万が一、これらのパスワードを使っている方がいれば、今すぐに変更してくださいね。
- 123456…(数字の並び)
- 11111…(同じ数字の繰り返し)
- password(そのまま)
- qwerty (キーボードの並び順) など
IDと同じ、名前や生年月日、人の名前や単語などももちろん危険です。
他サイトと同じパスワードを使いまわしていないかどうかも、要チェックです。
fa-lightbulb-o
ポイント
- 英字、大文字小文字、数字、記号などあらゆる組み合わせを使う。 文字は長ければ長いほどパターンが多くなる。つまり、解析により多くの時間と手間がかかってしまうので、より安全です。
あらゆるバージョンを最新に
ハッカーがターゲットにするのは、セキュリティが最新バージョンに更新されていないサイトがほとんどです。
過去の調査では、WordPressサイトのうち4割近くが、ハッキングされた当時に古いバージョンを使用していたということも明らかになっています。
fa-lightbulb-o
ポイント
- バージョンが古いと、セキュリティに問題が出る可能性も。 最新のものになっているかを要チェック。
使用するプラグインに注意
前項のとおり、プラグインのバージョンを最新にしておくことは大切です。しかしそれ以前に、プラグインの使い方には充分注意が必要です。使用の際のポイントは2つ。
ひとつは、WordPress公式サイトで公開されているものを使うこと。
公式サイト以外からも多くのプラグインが入手可能ですし、中には大変魅力的なものも多いですよね。
しかし、安全性に欠ける部分があるのも事実。非公式のものを使う際には、信頼できるものなのかを見極める必要があります。
こうぺい
セキュリティの観点でいえば、公式サイトのものを使うのが安全です。
そしてもうひとつは、使用していないプラグインは定期的に削除すること。
プラグインの数が増えると管理も大変。サイトの動作も重くなってしまい安全性も下がるので、いいことがありません。
使わないプラグインは、停止したうえでしっかり「削除」しておきましょう。
無料のおすすめプラグインについては、こちらの記事もぜひ参考にしてみてください。
fa-lightbulb-o
ポイント
- プラグインは、公式サイトで紹介されているものが安全
- 信頼できるツールであるかをきちんと見極める
- 使わないものは削除することで、安全性も動作性も上がり一石二鳥
こんなときには要注意、5つのサイン
WordPressが乗っ取られたときには、こんな状態になる可能性が。
主に見られる状況5つをご紹介します。
ご自身のアカウント、サイトが該当していないかチェックしてみてください。
fa-lightbulb-o
チェック項目
- ログインできない
- 何もしていないのにサイトの内容が変わっている
- アクセスすると、他のページに飛ばされる
- アクセスすると、ブラウザに警告が表示される
- サイトを検索すると、グーグルの「乗っ取られた可能性あり」との警告が表示される
該当項目がある場合、すぐに次項の対策を行ってください。
乗っ取られた!すぐにやるべき対策は?
ログインできる状態であれば、以下の対策をいそいで行います。
ホームページを「メンテナンス中」に変更
乗っ取られて改ざんされたり、ウイルスに感染してしまったサイトにアクセスしてしまうと、アクセスしたユーザーがウイルスに感染してしまう可能性があります。
こうぺい
自分だけでなく、アクセスしたユーザーにも迷惑を掛けるのは絶対避けたいですよね!
まずは二次災害を防ぐためにも、他のユーザーがサイトにアクセスできないようにしておきます。
WordPress管理者情報を整理
乗っ取られている間に不正に作成されてしまっていた管理者ユーザーを削除します。
さらに、これまでご自身が使っていた管理者ユーザーも削除し、新たに管理者ユーザーを作成しておきましょう。
その際、新しい管理者ユーザーのニックネームを別途設定しておくことが必須です。設定しないままだと、IDがそのままニックネームに記載されてしまうので、乗っ取り犯に新たなIDが知られてしまいます。
再インストール
念のためにしっかりやりたい、もしくは、上記の2点を修正したにもかかわらず問題が発生する、という場合には、再度インストールしなおすことをおススメします。
ドメインはそのまま、WordPressは再度インストールし直します。使用していたプラグインとテーマも同じく再インストールしましょう。
プラグインやテーマを再インストールする際には、前項で述べている通り、その安全性についても再度検討してみてくださいね。
まとめ 対策は基本的なセキュリティチェックから
WordPressの乗っ取り対策についてまとめてきました。
まずはセキュリティの見直しをしっかり行いましょう。
- パスワードは安全か?
- ソフトのバージョンは最新か?
- 使用プラグインは信頼できるものか?
(webツールを利用した、サイト安全性のチェックも有効)
WordPressに限らず、どんなインターネットコンテンツを利用するにあたっても気を付けておきたい点です。
そして、乗っ取られてしまった可能性がある場合には(ログインできない、身に覚えのない投稿や改ざん、警告の表示など)、すみやかに対応しましょう。
こうぺい
乗っ取られてしまうと慌ててしまうかと思いますが、焦らずにきちんと対応しましょう!
- ホームページを「メンテナンス中」表示に
- ログイン情報(パスワードなど)を更新
- 管理者情報を更新
- WordPressの再インストール
以上です。
運営しているサイトが乗っ取られるということは、ご自身が発信している内容が消えたり盗まれたりするだけでなく、そのサイトを経由して他のユーザーに被害が及んでしまう可能性も充分にあるということです。
自分自身を守るため、他のWordPressユーザーを守るため、さらにはサイトを訪れた人を守るために、ご自身のWordPressアカウント、サイトの安全性をしっかりと高めておきましょう。