WordPressのマルウェア感染・ハッキングの原因と侵入ルート

WordPressというCMSは、オープンソースのためハッカーに狙われやすく、マルウェアの感染で大切なサイトが大打撃を受けることも少なくありません。

WordPressがマルウェアに感染すると、自分のサイトが被害を受けるだけではなく、そのサイトの訪問者をフィッシング詐欺サイトなどに誘導してしまったりします。

多くの第三者に迷惑をかけないためにも、WordPressのセキュリティ対策はしっかりとしておきたいところです。

ここでは、WordPressがどういったルートでハッキングされてマルウェアを仕掛けられるのか、その原因について詳しく解説してみたいと思います。

パスワードが簡単すぎてハッカーに侵入される

WordPressがハッキングされる原因で意外に多いのが、単純すぎるパスワードです。

ひどい人になると4桁の数字のみで、しかもその数字が自分の誕生日だったりします。

もっとひどい人になると、ユーザー名とパスワードが同じだったりします。

この世にハッカーが存在しないのであればそれで問題ありませんが、パスワードが単純だといとも簡単に管理画面に侵入されてしまいます。

一度管理画面に侵入されてしまうと、あとはやりたい放題です。

最近のハッカーは、数字とアルファベットを組み合わせた8桁のパスワードであっても、ブルートフォースアタックを仕掛けて1時間程度で突破してしまいます。

関連記事：ブルートフォースアタックによるWordPressへの侵入

ですから、数字とアルファベットだけではなく、記号なども組み合わせて、最低でも10桁のパスワードを設定すべきです。

もちろん、ユーザー名や自身の誕生日をパスワードにするのはご法度です。

「自分が覚えやすいから」という理由で、大切なWordPressをハッキングの危険にさらしてしまうのは本末転倒です。

マルウェアに感染した自分PCからWordPressに侵入

WordPressのセキュリテイィ対策はしっかりと行っているのに、何度もマルウェアに侵入されてしまうという人は、自分が使っているパソコンを疑ってみる必要があります。

パソコンがトロイの木馬系のマルウェアに感染していると、WordPressのログイン情報やサーバーのFTP情報などをハッカーに盗まれることがあります。

WordPress本体やプラグインからのセキュリティホールの穴埋めをしたとしても、自分のパソコンの中にマルウェアが潜んでいたら、まったく意味のないことになってしまいます。

WordPressの管理に使うパソコンには、必ずセキュリティソフトをインストールして、定期的にPC内をフルスキャンすることが大切です。

また、WordPressは複数の人で管理をすることが可能ために、大規模なサイトになると大勢の人がユーザー登録されていたりします。

その中の誰か一人のパソコンにマルウェアが潜んでいたりすると、WordPressが危険にさらされてしまいます。

特に管理者権限を与えている人のパソコンがマルウェアに感染していると危険ですので、できれば管理者権限というのは、限られた人にだけ与えるべきです。

バージョンの古いWordPress本体・プラグイン・テーマ

WordPressは、つねにバージョンアップを繰り返しています。

これは、機能のアップなどが目的のこともありますが、それ以上にセキュリティホールの穴埋めをするためのバージョンアップが多いのです。

つまり、WordPressのバージョンアップをせずに放置したままにしておくということは、セキュリティホールをそのままにしておくということなりますので、いつハッキングの被害を受けてもおかしくない状態といえます。

また、このことはプラグインやテーマにも同じことがいえます。

何年も更新をしていないと、セキュリティ的な脆弱性はどんどん高くなってしまいます。

また、テーマやプラグインによっては、開発者がまったく更新をせずに放置したままの状態になっているものもあります。

できれば、そういったテーマやプラグンは削除をして、頻繁に更新が行われているものを使うようにするといいでしょう。

サーバー内の別のWordPressが原因でマルウェアに感染する

WordPressを設置しているサーバー内の、他のWordPressからマルウェアに感染してしまうケースも非常に多いです。

実際に、サーバー内の1つのWordPressがハッキングをされると、そのサーバー内にあるすべてのWordPressにマルウェアが感染してしまうことは決してめずらしいことではありません。

ホームページを作ってもらった制作会社のサーバーにWordPressが設置されているケースも多いと思いますが、そういったケースの場合、1つのサーバー内にたくさんのWordPressがインストールされていることが多いです。

ホームページ制作会社も、月々のサーバー代を節約するためにそういった管理のやり方をしているのでしょうが、セキュリティ的には非常に問題があるといえます。

弊社ではWordPressのマルウェア駆除サービスを提供していますが、１つのサーバー内に設置した20サイト以上のクライアントのWordPressをすべて感染させてしまい、あわてて弊社に相談してきたホームページ制作会社もありました。

できれば、１つのサーバー内に１つのWordPressをインストールするのが理想です。

サーバー代がかかるといっても、せいぜい月々千円程度ですから、WordPressの安全を考えたら安い出費といえます。

レンタルサーバーのPHPバージョンが古くてマルウェアに感染

WordPressを設置しているサーバーのPHPバージョンが古いことが原因で、ハッキングをされてしまうことがあります。

サーバーのPHPバージョンも、WordPress本体のバージョンなどと同様に、古くなるとセキュリティ的な脆弱性が高くなってしまいます。

また、サーバーのPHPバージョンが古いことによって、WordPress本体のバージョンアップができないこともありますので、ますます危険性が高まることになります。

関連記事：サーバーのPHPバージョンとWordPressのバージョンアップ

古くからのレンタルサーバー会社の中には、PHPのバージョンアップがストップしてしまっているようなところもあります。

WordPressはPHP5.2から5.5までの動作保証はしていません。

WordPressを運用するためには、最低でもPHP5.5以上のサーバーが必要ですし、出来ればPHP7.4以上の環境を提供してくれるレンタルサーバーを利用したいものです。

WordPressをハッキングやマルウェア感染から守るためには、つねに最新のPHPバージョンを提供してくれるレンタルサーバーに移転をした方がいいでしょう。

SQLインジェクションによる攻撃でハッキング

サイト内に検索ボックスなどの入力フォームを設置してあるWordPressは、SQLインジェクションによってハッキングされやすくなります。

SQLインジェクションというのは、WordPressに設置された検索ボックスや管理画面へのログインフォームの中に、データベースへの不正な命令を直接入力してハッキングしてしまう手法になります。

WordPressの管理画面やサーバー内に侵入することなく、検索ボックスや入力フォームから直接データベースを操作されてしまうのが、このSQLインジェクションの恐ろしいところです。

このSQLインジェクションからWordPressを守るためには、WAFの導入が一番です。

WAFというのは、WordPressをサーバーレベルではなくアプリケーションレベルで防御するファイアーウォールのことです。

サーバーの前段に設置して通信の解析を行い、攻撃と判断した通信を遮断することができます。

WAFの導入といっても特に難しいことをする必要はなく、多くのレンタルサーバーにはこのWAFの機能が搭載されています。

しかし、WordPressの利用を前提としてない一部の古いレンタルサーバーでは、WAFの機能がないものもあります。

もし、現在利用されているレンタルサーバーにWAFの機能がないのであれば、WordPressはつねに危険な状態にさらされていることになりますので、対応しているサーバーに移転することをおすすめします。