WordPress(ワードプレス)とは、ブログを作成するためのシステムとして公開されました。
システムの公開後も進化を続けており、今や、個人ブログ、企業用サイト、公共機関サイトなど、多方面で利用されています。
WordPressはオープンソースのCMS(Content Management System)であり、プログラミングやHTMLなどの専門的な知識がなくても、比較的簡単にウェブサイトの作成をおこなえるののが大きな特徴です。
※CMSとは?
ウェブサイトのコンテンツ(テキスト・画像など)のデータを管理し、それらをウェブページとして表示させるシステムです。
W3Techsという調査サービスが発表した統計によると、世界中のウェブサイトのうち26.5%はWordPressで作成されているというデータがあり、また、CMSで作られたサイトに限定すると、59.6%と圧倒的なシェアを占めています。
このように、昨今人気の高いWordPressですが、ここ近年、WordPressを対象とした、不正アクセスが多く確認されています。
これは、WordPress自体に問題があるためではなく、単純にアップされているサイトの数が多いので、標的とされやすくなっていると考えられます。
この点については、WordPressだけに限ったことではなく、世界中で多く使われているSNSツールにおいて同様の傾向があります。
WordPressは、手軽にウェブサイトを作成でき、サイト運営にかかる費用も安く抑えられることから、人気の高いシステムではありますが、時代のトレンドとなっているSNSツールの宿命でもある、不正アクセスにそなえるため、セキュリティ対策を日頃から行っておく必要があります。
ここからは、WordPressへの不正アクセスの内容や、不正アクセスへの対策法についてお伝えしていこうと思います。
この記事でわかること
1.こんなに簡単な“不正アクセス”方法
WordPressへの不正アクセスの方法には、ログインパスワードを片っ端から入力して、ログインを試みるといった、単純な手法や、WordPressのプログラム上で発見された脆弱性を見つけて、不正アクセスするといったものが多く見られます。
このような方法から、ホームページが改ざんされたり、他のコンピュータ-を攻撃するための踏み台となる事例が多いようです。
ここからは、不正アクセスの中でも代表的なこの2つの方法である、パスワードを入力する方法と、プログラム上の脆弱性について詳しく解説してみたいと思います。
1-1 外部から不正アクセスを試みる、“不正ログイン攻撃”とは?
不正ログイン攻撃とは、外部から想定できるパスワード片っ端から入力して、WordPressへログインを試みる攻撃であり、ブルートフォースアタック(Brute-force attack)とも呼ばれています。
この攻撃方法を例えるならば、マンションやアパートなどの集合住宅のドアを、端から端まで片っ端からノックして、開いているドアが無いか調べるような、とても単純で手間のかかる不正アクセスの方法です。
ですが、この単純な不正アクセスでも、時間をかければいつか正解に当たってしまいます。
方法として最もポピュラーなのが、インターネット上で、辞書ファイルというものをダウンロードし、辞書にある単語や数字を片っ端から入力して、正解にたどり着くまで試すというアナログな方法です。
詳しい解説は、こちらのサイトを参照してみてください。辞書攻撃 【 dictionary attack 】 ディクショナリアタック
※辞書攻撃とは?
※辞書ツールとは?
この辞書攻撃という不正アクセスは、WordPressへのログインだけでなく、ネット上での不正ログインなどでも多く使われています。
1-2 WordPressの脆弱性と不正アクセスの関係性とは?
脆弱性は、セキュリティホールとも呼ばれていて、コンピューターのOSやソフトウェアの中に発生した、セキュリティ上の欠陥のことを言います。
この脆弱性を放置すると、コンピューターは、ウイルスに感染する危険性が高まり、インターネットに接続しているコンピューターにおいては、セキュリティ上の大きな危険を発生させる原因ともなります。
脆弱性が原因となって、セキュリティ上に欠陥が発生したコンピューターは、ウィルスなどへの感染がきっかけとなって、外部から悪意を持ったプログラムを実行されたり、最悪の場合は、ホームページやサイトの内容を改ざんされてしまうといった事態も起こります。
2.不正アクセスへ具体的な対策方法
これまでは、WordPressへ、どのように不正アクセスが行われるのか?についてお伝えしてきました。
1つ目が、ネット上で簡単に入手できる、“辞書ツール”を使い、ログインパスワードを見つけ出す。というアナログな手法である、“不正ログイン攻撃”という方法。
そして、2つ目は、コンピューターのセキュリティの欠陥を狙って、ホームページやサイトを改ざんしたり、最悪はサイト自体を乗っ取ってしまう。と、いった“コンピューターの脆弱性”を狙う方法。
では、ここからは、“不正ログイン”と“コンピューターの脆弱性”という、2つの不正アクセスへの対処方法について解説していきます。
2-1.パスワードをマメに変えることが不正アクセスを防ぐ第一歩。
“辞書ツール”を使った不正アクセスを辞書攻撃と言います。
この辞書攻撃は、辞書にある単語と単純な数字を組み合わせて、片っ端から入力するといったアナログな方法です。
辞書ツールには何万語もの単語が収録されていて、なおかつ、一回入力した数字や単語を記憶してくれる辞書ツールの特性を生かして、入力時間を短縮することもでき、大文字や小文字を混雑させることを繰り返すうちに、パスワードを破ることが可能になってしまいます。
この辞書攻撃への対策として最も有効な方法は、これもアナログな方法ですが、パスワードをマメに変更し、複雑なパスワードを設定する事です。
そして、パスワードはできるだけ長いものとし、英数文字記号を乱雑に混ぜ、かつ、意味にわからないものにする事です。
特に、英数文字が混在したものや、長い文字列を含むものは、ツールと言えども、記憶することに負担が大きく、避けられる傾向があるようです。
パスワードを定期的に変更することで、自分も気が付かないうちに外部から不正アクセスされている状態を防ぐ事ともなります。
2-2.最新バージョンにアップデートする
WordPress本体には、メールなどで新しいバージョンの通知が行われ、そこから最新の状態に更新が出来るようになっています。
ウィンドウズOSのアップデートも同じように、定期的に自動更新がされ、その都度ソフトのバージョンアップを行い、コンピューターに新たな静寂性が発見された場合に、メーカーが開発した更新プログラムを提供します。
脆弱性(ぜいじゃくせい)とは、コンピュータ上に発見された、プログラムの不具合や、情報セキュリティ上の欠陥であり、この状態を長く放置すると、外部からの不正アクセスを容易にするだけでなく、最悪の場合には、サイトの内容を改ざんされたり、他のコンピュータを攻撃するための踏み台にされてしまう場合もあります。
パスワードを定期的に変更するなどを行っていても、コンピューター上の不具合やセキュリティ上の欠陥を修正していない状態では、おおもとのコンピューターへの不正アクセスを防ぎようがありませんから、常にOSやソフトウェアの更新情報を収集して、できる限り迅速にアップデートを行う事が、外部からの不正アクセスを防ぐためにはもっとも重要です。
3.まとめ
今回の記事では、WordPressへの不正アクセスの代表的な2つである、“不正ログイン攻撃”と“脆弱性が原因となる不正アクセス”の方法と、どのようにして外部から不正アクセスをされるのかについて解説してきました。
WordPressへの不正アクセスには他にもさまざまな方法がありますが、不正アクセスを防ぐための最低限行うべき2つである、
・パスワードを定期的に更新する。
・コンピュータ―状のセキュリティ情報を随時更新する。
この2つを実行することによって、自分のWordPressサイトを守ることになりますので、今回の記事を参考にしていただき、安全にサイト運営を行っていただければ幸いです。
あわせて読みたい
Yahooメールの流出を確認するサイトとパスワード管理ツールまとめ