最近、読者の1人が、WordPressサイトがハッキングされる理由を尋ねました。 WordPressサイトがハッキングされていることに気付くのはイライラします。 この記事では、WordPressサイトがハッキングされる主な理由を共有します。これにより、これらの間違いを回避し、サイトを保護することができます。
もくじ
- なぜWordPressはハッカーに狙われるのか?
- 1. 安全でないウェブホスティング
- 2. 脆弱なパスワードの使用
- 3. WordPressの管理画面(wp-adminディレクトリ)への無防備なアクセス
- 4. 不適切なファイルパーミッション
- 5. ワードプレスの更新をしない
- 6. プラグインやテーマの更新をしない
- 7. SFTP/SSHの代わりにプレーンFTPを使用する
- 8. WordPressのユーザー名としてAdminを使用する
- 9. 無効化されたテーマとプラグイン
- 10. WordPressの設定ファイルwp-config.phpのセキュリティが確保されていない
- 11. WordPressのテーブルプレフィックスを変更しない
- ハッキングされたWordPressサイトのクリーンアップ
- ボーナスヒント
なぜWordPressはハッカーに狙われるのか?
まず、WordPressだけではありません。インターネット上のすべてのウェブサイトは、ハッキングの試みに脆弱です。
WordPressがよく狙われる理由は、WordPressが世界で最も人気のあるWebサイトビルダーだからです。全ウェブサイトの31%以上、つまり全世界で何億ものウェブサイトを動かしているのです。
この絶大な人気により、ハッカーは安全性の低いウェブサイトを簡単に見つけることができ、それを悪用することができるのです。
ハッカーがウェブサイトをハッキングする動機はさまざまです。ある者は、安全性の低いサイトを悪用することを学んでいるだけの初心者です。
また、マルウェアを配布したり、他のウェブサイトを攻撃するためにサイトを利用したり、インターネット上でスパムを送信したりと、悪意を持っているハッカーもいます。
そこで、WordPressサイトがハッキングされる上位の原因と、Webサイトがハッキングされるのを防ぐ方法について見ていきましょう。
1. 安全でないウェブホスティング
他のウェブサイトと同様に、WordPressサイトもウェブサーバー上でホストされています。一部のホスティング会社は、そのホスティングプラットフォームを適切に保護していません。これは、そのサーバー上でホストされているすべてのWebサイトがハッキングの試みに脆弱になります。
これは、あなたのウェブサイトのための最高のWordPressホスティングプロバイダを選択することによって容易に回避することができます。それはあなたのサイトが安全なプラットフォーム上でホストされていることを保証します。適切に安全なサーバーは、WordPressサイトへの最も一般的な攻撃の多くをブロックすることができます。
もし、さらに事前注意を払いたいのであれば、マネージドWordPressホスティングプロバイダーを利用することをおすすめします。
2. 脆弱なパスワードの使用
パスワードは WordPress サイトの鍵です。以下のアカウントは、ハッカーがあなたのウェブサイトに完全にアクセスできるようにするため、それぞれ強力な固有のパスワードを使用していることを確認する必要があります。
- WordPressの管理者アカウント
- ウェブホスティングのコントロールパネル・アカウント
- FTPアカウント
- WordPressで使用するMySQLデータベース
- WordPressの管理者またはホスティングアカウントに使用する電子メールアカウント
これらのアカウントは、すべてパスワードで保護されています。弱いパスワードを使用すると、ハッカーはいくつかの基本的なハッキングツールを使用してパスワードを解読することが容易になります。
各アカウントにユニークで強力なパスワードを使用することで、これを簡単に回避することができます。WordPress初心者のためのパスワード管理ガイドを参照して、これらの強力なパスワードを管理する方法を学んでください。
3. WordPressの管理画面(wp-adminディレクトリ)への無防備なアクセス
WordPressの管理画面は、ユーザーがWordPressサイト上でさまざまな操作を行うためのアクセス権を提供します。また、WordPress サイトで最もよく攻撃される領域でもあります。
管理画面を保護しないままにしておくと、ハッカーはあなたのウェブサイトをクラックするためにさまざまなアプローチを試みることができます。WordPressの管理者ディレクトリに認証のレイヤーを追加することで、ハッカーから攻撃を受けることを難しくすることができます。
まず、WordPressの管理画面をパスワードで保護する必要があります。これは追加のセキュリティ・レイヤーを追加し、WordPress管理画面にアクセスしようとする人は、追加のパスワードを提供しなければならなくなります。
マルチオーサーサイトやマルチユーザーサイトを運営している場合は、サイト上のすべてのユーザーに対して強力なパスワードを強制することができます。また、二要素認証を追加すれば、ハッカーがWordPressの管理画面に入るのをより難しくすることができます。
4. 不適切なファイルパーミッション
ファイルパーミッションは、Web サーバーで使用される一連のルールで す。これらのパーミッションは、Web サーバーがサイト上のファイルへのアクセ スを制御するのに役立ちます。不適切なファイルパーミッションは、ハッカーがこれらのファイルを書き込んだり変更したりするためのアクセス権を与える可能性があります。
WordPressのすべてのファイルには、ファイルパーミッションとして644の値を設定する必要があります。WordPressサイト上のすべてのフォルダのファイルパーミッションは755である必要があります。
これらのファイルパーミッションを適用する方法については、WordPress で画像アップロードの問題を修正する方法のガイドを参照してください。
5. ワードプレスの更新をしない
WordPressユーザーの中には、WordPressサイトを更新することを恐れている人がいます。そうすることで、ウェブサイトが壊れてしまうことを恐れているのです。
WordPressの各新バージョンでは、バグやセキュリティの脆弱性が修正されています。WordPressをアップデートしていないのであれば、意図的にサイトを脆弱なままにしていることになります。
もし、アップデートによってウェブサイトが壊れることを恐れているのなら、アップデートを実行する前にWordPressの完全なバックアップを作成することができます。この方法では、何かが動作しない場合、あなたは簡単に以前のバージョンに戻すことができます.
6. プラグインやテーマの更新をしない
WordPressのコアソフトウェアと同様に、テーマやプラグインの更新も重要です。古いプラグインやテーマを使用すると、サイトが脆弱になる可能性があります。
WordPressのプラグインやテーマには、セキュリティ上の欠陥やバグがしばしば発見されます。通常、テーマやプラグインの作者は、すぐにそれらを修正します。しかし、ユーザーがテーマやプラグインを更新しなければ、どうすることもできません。
WordPressのテーマやプラグインは、常に最新の状態に保つようにしましょう。
7. SFTP/SSHの代わりにプレーンFTPを使用する
FTPアカウントは、FTPクライアントを使用してWebサーバーにファイルをアップロードするために使用されます。ほとんどのホスティングプロバイダーは、異なるプロトコルを使用してFTP接続をサポートしています。プレーンFTP、SFTP、またはSSHを使用して接続することができます。
プレーンFTPを使用してサイトに接続する場合、パスワードは暗号化されずにサーバーに送信されます。これは、スパイされ、簡単に盗まれる可能性があります。FTPを使用する代わりに、常にSFTPまたはSSHを使用する必要があります。
FTPクライアントを変更する必要はないでしょう。ほとんどのFTPクライアントは、SSHだけでなくSFTPでもあなたのウェブサイトに接続することができます。ウェブサイトに接続する際に、プロトコルを「SFTP – SSH」に変更すればよいのです。
8. WordPressのユーザー名としてAdminを使用する
WordPressのユーザー名として「admin」を使用することは推奨されません。もし、管理者用のユーザーネームがadminであれば、すぐに別のユーザーネームに変更する必要があります。
詳しい方法は、WordPressのユーザー名を変更する方法のチュートリアルをご覧ください。
9. 無効化されたテーマとプラグイン
有料のWordPressプラグインとテーマを無料で配布しているインターネット上の多くのウェブサイトがあります。 これらの魅力的なプラグインやテーマをサイトで使用したくなることがあります。
信頼できないソースからWordPressのテーマとプラグインをダウンロードすることは非常に危険です。 Webサイトのセキュリティを危険にさらすだけでなく、機密情報を盗むためにも使用される可能性があります。
プラグイン/テーマ開発者のWebサイトや公式のWordPressリポジトリなど、信頼できるソースからWordPressプラグインとテーマを常にダウンロードする必要があります。
プレミアムプラグインやテーマを購入する余裕がない、または購入したくない場合は、それらの製品に利用できる無料の代替品が常にあります。 これらの無料のプラグインは有料のプラグインほど良くないかもしれませんが、それらは仕事を成し遂げ、そして最も重要なことにあなたのウェブサイトを安全に保ちます。
また、人気のあるWordPress製品の多くの割引は、当社のWebサイトの取引セクションで見つけることができます。
10. WordPressの設定ファイルwp-config.phpのセキュリティが確保されていない
WordPressの設定ファイルwp-config.phpには、WordPressのデータベースへのログイン認証情報が含まれています。もし、このファイルが漏洩した場合、ハッカーがあなたのウェブサイトに完全にアクセスできるようにするための情報を公開してしまいます。
.htaccessを使用してwp-configファイルへのアクセスを拒否することで、追加の保護レイヤーを追加することができます。以下のコードを.htaccessファイルに追加してください。
<files wp-config.php>
order allow,deny
deny from all
</files>11. WordPressのテーブルプレフィックスを変更しない
多くの専門家が、WordPressのデフォルトのテーブル接頭辞を変更することを推奨しています。デフォルトでは、WordPressはデータベースに作成されるテーブルの接頭辞としてwp_を使用します。インストール時に変更するオプションがあります。
もう少し複雑な接頭辞を使用することをお勧めします。そうすれば、ハッカーがあなたのデータベースのテーブル名を推測するのが難しくなります。
詳細な手順については、WordPress のデータベースの接頭辞を変更してセキュリティを向上させる方法をご覧ください。
ハッキングされたWordPressサイトのクリーンアップ
ハッキングされたWordPressサイトをクリーンアップするのは、本当に骨が折れることです。しかし、それは行うことができます。
ここでは、ハッキングされたWordPressサイトのクリーンアップを始めるためのリソースをいくつか紹介します。
ボーナスヒント
強固なセキュリティを実現するために、私たちはすべてのWordPressサイトでSucuriを使用しています。Sucuriは、マルウェアの検出と除去サービス、および最も一般的な脅威からウェブサイトを保護するウェブサイトファイアウォールを提供しています。
Sucuriのおかげで3ヶ月で450,000のWordPressの攻撃をブロックできたことをご覧ください。
この記事で、WordPressサイトがハッキングされる理由のトップがお分かりいただけたでしょうか?また、あなたのWordPressサイトを保護するための究極のWordPressセキュリティガイドもご覧ください。