インストールしただけの対策なしのWordPressは超危険!本当にハッキング・クラッキングされますよ!(具体的な手法も解説)

2018/10/14 ウェブ開発

みなさん、こんにちは!

ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。

このサイトでは、ITについて特化したサイトを運営しています。

今回は、インストールして記事を書いただけの、そのままのWordPressが、どれほどサイバーセキュリティの観点から危険であるかを説明します。

読んでもらえばわかりますが、無対策のWordPressは非常に危険です。

WordPressをインストールしただけで無対策の方は、今すぐにでもセキュリティを強化してください。

なお、自分のサイトを守るには攻撃者の観点を知る必要があるため紹介しているもので、WordPressへのハッキング方法を解説する趣旨ではないことをご理解ください。

スポンサーリンク

自分は狙われない・・・は大間違い!

自分のサイトは趣味サイトだから・・・

訪問者数もそんなに多くないし・・・

狙われるのは大きなサイトだけでしょ・・・

っと思っている、そこのあなた!

WordPressのセキュリティ問題は、他人事ではありません!

ハッカーは、ウイルスの媒介やマルウェアの媒介、さらにはスパム行為、さらには趣味的な行為としてWordPressへのハッキングを行います。

これは、サイトの規模に依らず、手当たり次第に「セキュリティの弱いサイト」を狙うことで実現します。

サイト規模に依らず、数多くのWordPressにハッキングすることに価値があるということです。

つまり、WordPressを設置している以上、ハッカーに狙われれば攻撃されます。

逆に、セキュリティの強いWordPressサイトであれば、セキュリティの壁を突破するのが困難あるいは不可能となり、時間がかかってしまう場合、ハッカーがあきらめてくれます。

わざわざ鉄壁のセキュリティを突破しなくても、他の弱いサイトを狙ったほうが、ずっと効率がいいからです。

つまり、WordPressのセキュリティは、ハッカーに「諦めてもらう」ということも意外に大切だったりします。

SSL化されていないWordPressサイトは非常に危険です!

常時SSL化されていないWordPressサイトは非常に危険です。

平文のHTTP通信であれば、管理画面へのログイン時に入力したユーザー名やパスワードなどのログイン情報が筒抜けになります。

これでは、どんなに強固なパスワードを設定していても、タイミングが良ければ簡単にハッキングされます。

暗号化されていないサイトでクレジットカードの情報を入力してはいけないのと同じです。

必ずSSL化しておきましょう。

詳細は、SSL化の重要性をご覧ください。

WordPressのログイン画面は誰にでもわかる!

サーバー会社の「WordPress簡単インストール」等を利用した場合、ドメイン直下にWordPressを設置している方も多いのではないでしょうか?

その場合、http://example.com/wp-login.phpにアクセスすれば、ログイン画面に到達できます。

あとは、ユーザー名とパスワードがわかれば突破できますね!

ユーザー名は誰にでもわかる!

ご自身のWordPressサイトに、http://example.com/?author=1と入力してみてください。

example.comの部分は、使っているドメインに変更してくださいね。

すると、URLに、WordPressへのログイン名が表示されたはずです。

これでユーザー名もバレました!

あとはパスワードだけですね。

パスワードには、ブルートフォースアタックを使う!

パスワードの突破には、ブルートフォースアタックを使います。

これは、総当たり攻撃のことです。

辞書式に総当たりでパスワードを入力し、力づくで突破する手法です。

現在ではコンピューター技術も発達しており、1秒間にすごい回数のログイン試行が可能です。

ここまで来たら、そんなに複雑なパスワードを設定していても突破されるでしょう。

WordPressのセキュリティを高めるには?

セキュリティ系プラグインを導入する。

セキュリティ系プラグインには、2つ目のパスワードを設定することができるものがあります。

これにより、単純にブルートフォースアタックの成功率を下げることができます。

その他、ログイン試行回数制限を行うものもあります。

これにより、連続で5回失敗すれば、1分間ログインロックが行われたり、5秒に一回しかログイン試行を受け付けなくなるなどの対策ができます。

また、ログインURLをwp-login.phpから変更することで、ログイン画面への到達を困難にすることもできますね。

画像認証も有効です。

画像認証により、機械的な突破を防ぐとともに、日本語の文字認証であれば外国人が読めないのでさらに防御力が向上します。

詳細は、プラグインによるWordPressのセキュリティ対策をご覧ください。

.htaccessでIPアドレス制限を行う。

最後に、.htaccessでログイン画面へのIPアドレス制限を行うことができます。

WordPressのログイン画面は、wp-login.phpになっています。

.htaccessで、特定のIPアドレスのみがwp-login.phpにアクセスできるように設定することができます。

自宅のIPアドレスのみがアクセス可能に設定することで、最高レベルのセキュリティになるでしょう。

詳細は、.htaccessでWordPressを守る方法をご覧ください。

WordPreessのセキュリティのまとめ

ここまで、初期状態のWrdPressがどれほど危険な状態であるかを説明してきました。

初期状態のWordPressが、どれほど危険であるかがわかっていただけたかと思います。

SSL化はもちろんのこと、プラグインや.htaccessによる防御を行いましょう。

最悪、.htaccessでIPアドレス制限さえ行えば、ユーザー名やログインパスワードが漏れたとしても、突破されるまでの時間的余裕が生まれます。

IPアドレス制限は、優先的に設定しておきましょう。

以上、安全なWordPressでのサイト運営の参考になれば幸いです。