WordPressサイト改ざん等の被害事例とセキュリティ対策

WEBサイトのセキュリティ対策は必要性が伝わらないことも多いので、ここでは実際の被害事例の紹介を通してその重要性をお伝えします。特にWordPressサイトは自分が関わる機会も多く、またセキュリティ対策が不十分なサイトを見かけるので、今回はWordPressに絞って紹介します。

WEBサイトのセキュリティの重要性

WEBサイトが被害を受けるとサイトを運営する運営者や企業の信用を傷つけ、売上などの成果を落とすことにもつながります。被害を受けたサイトのお問合わせや注文などのフォームに個人情報を入力することをためらうユーザーも多いでしょう。

また、ここではWordPressを中心に紹介しますが、WEBサイトのセキュリティの重要性はWordPressに限ったものではありません。

そしてWEBサイトへの攻撃は大企業も個人サイトも関係なく無差別に行われるものが多くあります。

つまりどのようなWEBサイトでも、セキュリティ対策が不十分であれば被害に合う可能性があるということです。WEBサイトの環境ごとに適切なセキュリティ対策を施して、安全なサイト運営を行ってください。

WordPressサイトの被害事例

サイトの改ざん

別のサイトや広告が表示される・リンクを埋め込まれる

自分のサイトに他のスパムサイトを表示させられたり、広告リンクを挿入される事例です。

【事例】WordPressサイト改ざんの復旧と対策を行いました

上記記事は、野良人で実際に対応した改ざん被害の事例です。海外のアダルト系商品サイトへのリンクが表示されるというものです。

その他、同種の改ざん被害は多数報告されています。明らかな改ざん以外にも表面的には変化がなく、ソースコードを見なければ分からないというパターンも多くあるようです。

フォーラム ≫ テーマのindex.phpが書き換えられる（クラッキングされてしまう） ? WordPress フォーラム ≫ PHPファイルに不正なコードが埋め込まれる ? WordPress [WordPress] サイト改ざんの被害にあったので行った対処・対策方法などについてまとめました ｜ memocarilog

テロ組織などによる攻撃

テロ組織などによってサイトを改ざん被害を受けた事例として、サイトに以下のような画像に書き換えられた例です。

ISIS名乗る改ざん、「Fancybox for WordPress」の脆弱性を悪用か（警察庁） | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト] 155万サイトが改ざん被害、WordPressのREST API脆弱性を20のグループが攻撃、米Feedjit報告 -INTERNET Watch

愉快犯によるサイト表記の変更

第三者によるユーザーサイトの改ざん被害に関するご報告 – レンタルサーバーならロリポップ！ サイトのタイトルを書き換えられたり、「ハッキングしたよ」といった意味合いのテキストを表示されるなどの改ざん被害が大規模に発生して話題になった案件です。サーバ会社の対応も別の意味で話題になりました。

フォーラム ≫ サイト改ざん？ ? WordPress [Я]ハッキング被害に遭いました。ヘコみまくりつつやった調査＆作業まとめ ： りくまろぐ

上記ロリポップの案件で実際に被害にあった方による報告です。

迷惑メール送信の踏み台

自分の管理するサイトのドメインから、知らないうちに大量の迷惑メールを送信されてしまう事例です。

参考画像：サーバー管理画面を確認すると数千件のメール送信履歴が確認された事例（引用：WordPressで踏み台にされたから対策をしてみた）

WordPressで踏み台にされたから対策をしてみた 【セキュリティ ニュース】サイトに不正アクセス、スパム送信の踏み台に – アリアファーム（1ページ目 / 全1ページ）：Security NEXT

下記資料によるとエックスサーバーでは、実際に観測された被害のうち7割超がメール送信に利用されるというものだったそうです。

サイトにウィルスを埋めこむ

サイト閲覧者に感染するウイルスを埋め込まれる事例です。 自分のサイトが、ウィルスを拡散させる発信源になってしまうと、自分だけではなく閲覧した多くのユーザーにも被害を拡大させてしまいます。

「Gizmodo」のブラジル版改ざん事例の検証 | トレンドマイクロ セキュリティブログ WordPressで動くサイトを見た人にランサムウェアを感染させるコード改ざんが続発 – GIGAZINE 【セキュリティ ニュース】「WordPress」や「Joomla！」など主要CMSで原因不明の改ざん被害が発生中：Security NEXT

WordPressは危険？

• WordPressが特別に危険ということはない。どのようなWEBサイトでも、セキュリティ対策が不十分であれば被害に合う可能性がある。
• 世界の30％超のWEBサイトがWordPress製で、ユーザー数が非常に多いため、WordPressを対象とした攻撃も多くなる。
• 適切なセキュリティ対策ができていなかったり、保守管理を怠ったサイトが被害を受けている。
• 機能が多く複雑なシステムになるほど、脆弱性が発生しうる箇所が増える→複雑な機能を必要とせず、ほとんど更新をしないのであればWordPressではなく静的HTMLサイトの方が安全。
• WordPressサイトも適切なセキュリティ対策と保守管理によって安全に運営することができる。

被害にあう前にきちんと対策をしよう

WordPressサイトを運営するサイトオーナーがとるべき対策

サイトの制作を専門家に任せていたとしても、運営する人の対策が不十分だと、そこから被害にあう可能性もあります。

• ウイルス対策ソフトなどを適切に設定し、PCを守る（WEBサイト自体のセキュリティが万全でも、更新する人のPCが汚染されていると被害にあうため）
• ユーザー名やパスワードを使いまわさない
• WordPress本体を最新の状態に保つ
• テーマやプラグインを最新の状態に保つ
• 管理画面を通さないファイルアップロードをする際はFTP通信を使用せず、SSHやFTPSを使用する
• 万一に備えて定期的なバックアップを取る

WordPressサイト制作時の対策

WordPressサイトの立ち上げ時に行うべきセキュリティ対策です。

• セキュリティプラグインを使用し、適切に設定する
• 管理画面への海外IPからのアクセスを遮断する
• wp-configなどの重要ファイルのパーミッションを変更する
• 投稿者アーカイブを非表示にするか、スラッグを変更する
• 信頼度の高いテーマやプラグインを使用する
• WordPressの自動アップデートを有効にしておく

WordPressテーマ・プラグイン制作時の対策

自分でテーマやプラグインを制作する場合の対策例です。

• 出力は適切にエスケープする（WordPressで用意されたエスケープ関数を使用すると煩わしくない）
• 入力は必ずnonceの認証を行いCSRF対策を施す
• カスタマイザーやsettingsAPIを積極的に利用する

制作者は書籍などをちゃんと読んで最低限のセキュリティ知識を身につけておくべきだろうと思います。以下はおススメです。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践（徳丸 浩）

Amazon

楽天

セキュリティといえば安定の徳丸本。最近、改訂版の第2版が出ました。

サイトの拡張性を飛躍的に高める WordPressプラグイン開発のバイブル

Amazon

楽天

セキュリティに特化した書籍ではないですが、WordPress開発現場での基本的なセキュリティ対策がきちんと盛り込まれているので、開発者はぜひ押さえておくべきだと思い��す。

被害にあったら

WordPressの場合はコーデックスで被害にあった場合の対応が紹介されています。冷静にひとつずつ確認して対処しましょう。

適切なセキュリティ対策と保守管理を

以上、WordPressサイトを中心に被害事例と、対策例を紹介しました。

「WEBサイトを持ちたいけど予算は無くて…セキュリティとか良く分からないからコスト削減しちゃおう！」といった発想は厳禁です。予算が十分でない場合は、無理に自前のWEBサイトを立ち上げずに、ブログサービスやWix等のホームページ制作サービス等を利用するのも良いと思います。

冒頭でも書きましたが、WEBサイトのセキュリティの重要性はWordPressに限ったものではありません。どのようなWEBサイトでも、セキュリティ対策が不十分であれば被害に合う可能性があります。

自分ではどのようなセキュリティ対策を施せばよいか分からないという場合は、セキュリティ対策も対応できる制作業者に頼みましょう。野良人でもWordPressサイトをはじめとしたセキュリティ対策を承っておりますので、まずはお気軽にお問い合わせください。