管理しないWordPressサイトは不正ログインで改ざんの危険性

近年、WordPressサイトは多くの企業や個人事業者にとって、情報発信や顧客獲得の重要なツールとなっています。
しかし、その一方で、不正ログインによる被害も増加しています。

「まさか自分のサイトが狙われるはずがない」
と思っていませんか？

管理されていないWordPressサイトは、まるで鍵をかけずに放置された家のようなものです。
空き巣に狙われ、大切な情報やデータを盗まれたり、サイトを改ざんされて悪用されたりするリスクが非常に高くなります。

本記事では、WordPressサイトの不正ログインについて、以下の内容を詳しく解説します。

• 不正ログインとは？
• 不正ログインする目的
• 代表的な手口「ブルートフォースアタック」
• 具体的な被害事例
• 被害を防ぐための対策

WordPressサイトを守るため、今すぐ対策を始めましょう！

1. WordPressサイトを狙う不正ログインとは？

不正ログインとは、本来アクセス権限を持つべきではない第三者が、パスワードなどの認証情報を不正に取得して、WordPressサイトにログインすることを指します。

ログインに成功されると、以下のような被害が発生する可能性があります。

• サイト改ざん：記事やコードの改ざん、悪意のあるコードの埋め込み
• 情報漏洩：顧客情報や会員情報などの機密情報の漏洩
• スパムメール送信：サイトを悪用して、スパムメールの送信
• ランサムウェア：データを人質に金銭を要求
• SEO対策の悪化：検索エンジンからの評価低下

WordPressは世界で最も利用されているCMSですが、その人気ゆえに攻撃者にとって格好の標的となっています。

2. 不正ログインの目的

不正ログインの目的は様々ですが、主に以下の3つが挙げられます。

金銭目的

• 個人情報やクレジットカード情報などの情報を盗み、金銭を詐取
• スパムメールを送信して、広告収入を得る
• ランサムウェアで金銭を要求

悪意のある改ざん

• サイトのコンテンツを改ざんして、企業や個人を誹謗中傷
• 競合企業に損害を与える
• SEO対策を悪化させて、検索結果から排除

政治的な目的

• プロパガンダや偽情報を拡散
• 特定の思想を宣伝

3. 代表的な手口：ブルートフォースアタックの仕組みと対策

ブルートフォースアタックは、パスワードを推測する最も一般的な手口です。
攻撃者は、パスワード辞書やソフトウェアを使って、ランダムにパスワードを試行錯誤します。

主な対策としては以下があります。

• パスワードを複雑にする：大文字・小文字・数字・記号を組み合わせ、12文字以上にする
• パスワード管理ツールを使う：パスワードを安全に管理する
• ログイン試行回数を制限する：一定回数以上失敗するとログインできなくなるように設定する
• 多要素認証を導入する：パスワード以外にも、ワンタイムパスワードなどの認証要素を追加する

4. 実際に起きた被害事例

事例1：企業のECサイトが乗っ取られ、顧客情報が漏洩

ある企業のECサイトが不正ログインされ、顧客情報のデータベースが盗まれました。漏洩した情報には、氏名、住所、電話番号、クレジットカード情報などが含まれていました。

事例2：ブログ記事が改ざんされ、悪意のあるコードが埋め込まれた

個人のブログが不正ログインされ、記事の一部が改ざんされました。改ざんされた記事には、ユーザーを不正なサイトへ誘導する悪意のあるコードが埋め込まれていました。

5. WordPressの引継ぎ保守を受ける時に総当たり攻撃の痕跡がある

これは実際にあったことです。
先日、WordPressの引継ぎ管理をご依頼いただいたサイト。

他者でWordPress管理していたサイトを引継ぎ管理した時、不正ログインしようとしていた痕跡を見つけました。

WordPress保守ガードでは、引継ぎのタイミングでセキュリティ強化対策を実施してから管理をおこなっています。
そんな中、各項目をチェックしていたところ、不正ログインを試みようとしている履歴を確認しました。

日時を確認しますと、1分間で複数回のアタックをしていることがわかります。それに「admin」という単純なユーザー名。

このサイトでは、「admin」というユーザーIDが登録されていなかったことや、複数回のアクセスで自動的にロックできるように対策をおこなった事で、不正ログインされることは防げました。

• 推測されそうな単純なユーザーIDを避ける
• 複数回のログインでロック対策を設ける

これだけでもセキュリティ対策にはつながりますが、「いつ、どこからどのように不正ログインしようとしているのか？」と確認できるような状況にしておかないと、強化対策ができません。

また、こういう不正ログインは、どんなサイトでも被害となってしまう動きはあります。

「小規模のサイトだから大丈夫」と考えてはいけません。

6. 5つの対策でサイトを守る：パスワード管理から多要素認証まで

WordPressサイトを不正ログインから守るために、以下の5つの対策を徹底しましょう。

1. パスワード管理を徹底する

• パスワードは複雑にする：大文字・小文字・数字・記号を組み合わせ、12文字以上にする
• パスワードを使い分ける：サイトごとに異なるパスワードを使用する
• パスワード管理ツールを使う：パスワードを安全に管理する

2. セキュリティプラグインを導入する

• ログイン試行回数を制限する：一定回数以上失敗するとログインできなくなるように設定する
• ログイン履歴を記録する：誰がいつログインしたかを確認できるようにする
• 脆弱性をチェックする：サイトの脆弱性を診断し、修正する

3. WordPressを最新バージョンに保つ

WordPress本体やプラグインは、常に最新バージョンにアップデートしましょう。脆弱性が発見された場合、速やかに修正プログラムが提供されます。

4. 多要素認証を導入する

パスワード以外にも、ワンタイムパスワードなどの認証要素を追加することで、セキュリティを強化できます。

7. WordPressサイトを安全に運用するために

WordPressサイトを安全に運用するためには、日々の管理と対策が不可欠です。

本記事で紹介した対策を参考に、今すぐサイトのセキュリティ対策を強化しましょう。

WordPress保守ガードは、WordPressサイトの保守管理サービスを提供しています。セキュリティ対策はもちろん、バックアップやアップデート作業なども代行いたします。

サイトの安全を守るために、ぜひお気軽にご相談ください。