WordPressは使用しているウェブサイトが多く、テーマやプラグインが豊富にあり、テクニックや運用に関する情報もあるので運用しやすい環境です。
反面、その普及率の高さから犯罪行為の土台に使われることも多いのも事実。
WordPressサイトの運用にはしっかりした管理も重要です。
WordPressサイトの悪用例
乗っ取りと改ざん
WordPressのログイン情報を得てサイトを乗っ取り、改ざんされる例があります。
過去には福島県内のある金融機関のサイトが乗っ取られ、バナーやリンクのリンク先が改ざんされ、フッシングサイトが表示されるようになっていた、という例もあります。
アップグレードしましたか? WordPressサイトの改ざん被害は150万件超え
WordPressの脆弱性を悪用した改ざん被害は、急激に増加し、150万件を超え、その脆弱性は最悪級の脆弱性 と言われています。 わずか数日で150万件の改ざん被…
3061.jp 
コンピューターウィルスの置き場にされる
Emotet(エモテット)の攻撃例では、メールで送られたファイルを開くとウイルスが置かれているサイトに誘導されダウンロードし感染するという流れがあるのですが、このサイトが乗っ取ったウェブサイトで、ウイルスのファイル置き場にされているのです。
URLは正規のサイトなのでURLフィルタにも引っかからず、サイトの改ざんもないためサイトの管理者も気づかないことが多いです。
詐欺サイトの踏み台にされる
サイトが乗っ取られると、そのサイトのページにアクセスすると別なサイトが自動的に開く(リダイレクトさせる)仕掛けをされることがあります。
踏み台にされる正規サイトには、キーワードリストなどSEO効果の高いコンテンツを設置した上で、検索エンジンからのアクセス時のみ詐欺サイトへリダイレクトするプログラムを仕込んでおくなど、手口が巧妙なものもあり、わかりにくくなっています。
WordPressサイトの管理
プログラムを最新の状態にしておく
WordPress本体・テーマ・プラグインはアップデートをチェックし、常に最新の状態にしておくことが最重要です。
バージョンアップ必須! WordPressの脆弱性に注意
WordPressのバージョン3.7から5.7.1にかけての全てのバージョンに影響のある脆弱性が確認されました。 速やかな最新のバージョン5.7.2へのバージョンアップが推奨されてい…
WordPressテーマの脆弱性に注意
WordPressのあるテーマの脆弱性が確認されたというニュースがあります。テーマの脆弱性でもサイトが危険に晒されますのでご注意ください。 WordPressのあるテーマの脆弱性…
ログイン情報を強固なものにする
ユーザー名を表に出さないようにする、パスワードを複雑なものにすることも大事です。
可能であれば二要素認証を設定するといいです。
WordPressではログインを二要素認証にするプラグインがあるので、それを利用できます。
使わないプラグインは削除する
使用していないプラグインは削除します。
プラグインの脆弱性を利用されることが多いので、サポートが終了し長年アップデートされていないプラグインは使わないようにしたいです。
レンタルサーバーのプログラムの確認も
データベースやPHPといったWordPressの動作に欠かせないプログラムがありますが、これらもWprdPressのシステム要件にあった最適なものを利用できるようにしておきます。
特にPHPはユーザー側が使用するバージョンを設定するので、放置していると古いバージョンのPHPを使っていて、WordPressのサポート対象外になっている例もあるので注意しましょう。
WordPressのPHPについて
WordPressのバージョンアップの際に気をつけなければならないことのひとつに PHPのバージョン があります。 システム要件に合わないPHPのバージョンを使っていると…
