WordPressへの不正アクセス被害が増加傾向にあります
近年、WordPressなどの CMS (Contents Management System:コンテンツ・マネジメント・システム) で構成されたサイトが増えておりますが、それに比例して、CMSの脆弱性を突いた不正アクセスも増加傾向にあります。
不正アクセス被害者のアクセスログを解析してみると同一パターンによるものが多いようです。
同一パターンによる不正アクセスについては対策も取りやすいため、基本的な対策を行っていればかなりのリスクを軽減できます。
主な攻撃手法
WordPressの認証情報を不正に取得し、WordPressの管理画面にログイン後、プラグインに偽装した不正ファイルをアップロードする事で、バックドア(侵入口)を設けるというパターンが多いようです。
バックドアについて
バックドアとは、侵入者が本来の管理者には分からないように設置する侵入口、またはサーバー内のコントロールができるようにするツールです。
バックドアが設置されると、サーバー内のすべてのフォルダでファイルの改ざん/生成/削除、コマンドの実行、外部への攻撃などが可能になります。
効果的な対策
投稿者名の変更
WordPressの各記事に表示される投稿者の名前が、ログインIDと同一である場合、WordPressのユーザー設定画面からWordPressに表示される投稿者名を漢字表記にするなど変更ください。
パスワードの確認
パスワードには強固な文字列を設定してください。
ご利用のパスワードが以下の特徴に当てはまる場合は、パスワードの変更を推奨します。
- 単純な文字列である
- 使いまわしをしている
- ユーザー名と関連するような推測しやすいものとなっている
総当たり攻撃対策の実施(セキュリティ系プラグインの導入)
総当たり攻撃については、
・ログイン画面に画像認証を設定する
・ログインURL自体を変更する
というような対策で、ほとんどを無効化する事ができます。
「All In One WP Security & Firewall」等のセキュリティ系プラグインの導入も是非、検討してみてください。
WordPress、プラグイン、テーマの更新
WordPress、プラグイン、テーマの更新を長期にわたって放置すると脆弱性が残ったままになっている場合があります。
そのため、WordPressの自動更新は切らない、できる限り最新の状態に保つよう運用ください。
なお、さくらのレンタルサーバをご利用の場合は、更新前にバックアップ&ステージングでバックアップを取っていただく事をお勧めします。
その他、基本的なセキュリティ対策は下記をご参考ください。