Blog
ブログ
WordPressで作ったWEBサイトをハッキング(不正アクセス)から守ろう!
目次
WordPressはセキュリティー対策が重要な理由
世界で最も利用されているホームページ制作システムが「Wordpress(ワードプレス)」です。
WordPressは非常に便利なシステムでして、テンプレートを使って作る簡易制作も可能ですし、ゼロから作り上げる完全オリジナルの本格制作も可能なため、ホームページ制作には欠かすことのできない存在です。
そんなWordpressですが使用するデメリットもあります。
それは、セキュリティー面での不安です。
世界で最も使われているということは、世界で最も(ハッカーなどから)狙われやすいということです。
数打ち当たる攻撃を行なっているハッカーからすれば、1万個のWEBサイトを狙うよりも100万個のWEBサイトを狙う方が希望があるのです。
例えば、1万個の内の8割のWEBサイトがセキュリティー対策をしっかりと行なっているとすると、ハッカーがターゲットとできるセキュリティーが甘いWEBサイトは2千個です。
しかし、100万個の内の8割だと20万個となります。
セキュリティーが甘いWEBサイトが2千個と20万個では、ハッカーにとっての市場規模が大きい方は言うまでもありません。
なので、ホームページを作るためのシステムは数あれど、Wordpressが最も狙われやすくなってしまうのです。
実際にあったハッキング被害
ラウンドスクエアのクライアント様で、過去に一度だけ実際にハッキング被害を受けたケースがあります。
身近なWEBサイトがハッキング被害を受けたのは初めてだったため驚きました。
ハッキング被害というのは実際にどのような症状かと言うと、全く関係のない別のWEBサイトへ「リダイレクト設定」をされてしまうのです。
リダイレクト設定というのは、「WEBサイトA」にアクセスをしようとしたサイト閲覧者を別の「WEBサイトZ」に誘導する設定のことです。
本来このリダイレクト設定は、URLが変更になった際などに古いURLにアクセスをしても新しいURLに転送され、問題なWEBサイトが表示されるようにする設定です。
つまり、この設定を悪用すれば、いろいろなWEBサイトに対してリダイレクト設定を行い、一つの特定のWEBサイトにアクセスを集めることができるのです。
例えば
「WEBサイトA」を閲覧しようとしたらリダイレクト設定によって「WEBサイトZ」が表示された。
その結果、WEBサイトZはアクセス数を1つ獲得
↓↓↓
「WEBサイトB」を閲覧しようとしたらリダイレクト設定によって「WEBサイトZ」が表示された。
その結果、WEBサイトZはアクセス数をまた1つ獲得
↓↓↓
「WEBサイトC」を閲覧しようとしたらリダイレクト設定によって「WEBサイトZ」が表示された。
その結果、WEBサイトZはアクセス数をまたまた1つ獲得
このようなことができれば、例えば「200万円であなたのWEBサイトのアクセス数を〇〇倍に増やします」といった商売を表面上は完結することができます。
しかし、このような方法で集まった閲覧者はあなたの事業のターゲットではないので、どれだけアクセス数が伸びようともあなたのサービスや商品が購入されることはないのです。
これは悪用方法の一例であり、ハッカーにとって他人のWEBサイトをハッキングするメリットはたくさんあり、常にハッキングをしようと目論んでいるのです。
ハッキングをされてしまった原因とされないための対策
WordPressで作ったWEBサイトをハッキングするためには「Wordpress管理画面」や「サーバー」に入り込む必要があります。
ラウンドスクエアのクライアント様のWEBサイトがハッキングを受けた原因は、Wordpress管理画面のログインパスワードを単純なものに設定していたためにWordpress管理画面に侵入されたのだと思われます。
ラウンドスクエアでは基本的には複雑なパスワードを設定してご納品させていただいておりますが、その後のパスワード変更はクライアント様で簡単にできてしまいます。
ハッキング被害を受けにくくするためにも、Wordpress管理画面へのログインパスワードとサーバーへのアクセスパスワードは複雑なものに設定しておくことをオススメいたします。
また、Wordpressのアップデートが発生した際にはしっかりとアップデートを行いましょう。
WordPressのアップデートは機能向上だけでなく、日々進化するハッキングなどへの対策向上の場合もあります。
WordPressで作ったWEBサイトを完成した時の状態のまま放置しているとセキュリティーがどんどん甘くなっていきます。
プラグインでWordpressセキュリティーをより強固に
WordPressには、「プラグイン」と呼ばれる手軽に機能を追加することができる便利ツールがあります。
WordPress管理画面への侵入を防ぐため、ラウンドスクエアでは基本的に「SiteGuard WP Plugin」というセキュリティー向上のプラグインを導入しております。
パスワードを複雑なものに設定していれば基本的には大丈夫なのでこれまではご提案程度に留めておりましたが、ハッキング被害の気持ち悪さと復旧の大変さを考慮して最近では導入を必須としております。
SiteGuard WP Pluginを導入するメリット
このプラグインを導入することでどのように変わるのか。
得られる主なメリット(セキュリティー向上)は下記の2点です。
【1つ目】ロボットによる自動ログインを防ぐ認証作業が追加される
サービスサイトのマイページにログインする際などに下記のようなグニャグニャとした文字を入力したことはありませんか?
これは、ロボットによる自動アクセス(不正アクセス)を阻害するための認証作業です。
数打ち当たるハッキング作業を人間が行うにはあまりにも効率が悪いため、WEB上のロボットに作業をさせています。
しかし、ロボットではこのグニャグニャ文字を認識および理解することができず突破できないのです。
【2つ目】ログイン画面のURLを変更できる
WordPressログイン画面のURLは、通常は「サイトURL」+「/wp-admin」または「/wp-login.php」と決まっています。
例えばラウンドスクエアの場合でいうと、サイトURLが「https://roundsquare.design」なので、
https://roundsquare.design/wp-admin
がログイン画面のURLとなり、このURLにアクセスをするとユーザーネームやパスワードを入力してログインが可能となります。
なので、この仕組みを知っていれば、誰でもあなたのWEBサイトのログイン画面までは到達でき、あとはユーザーネームやパスワードを当てればログインができてしまうというわけです。
なので、パスワードを当てられないように複雑なものに設定をするのはもちろんのこと、そもそもログイン画面に到達しにくくすることも重要なセキュリティー対策となります。
SiteGuard WP Pluginを導入することで、ログイン画面のURLを「サイトURL」+「任意の文字列」で構成することができるのです。
例えば、
https://roundsquare.design/login_hgu7457r9er%yr4r_e8duh
といった具合に、非常に複雑なURLにすることも可能です。
しかし、ログインURLが分からなくなると大変ですので、あまり複雑すぎるものにするのはお控えください。
あまり複雑にしなくても、Wordpressの一般的なログインURLではないと認識された時点でターゲットから外される可能性が高いです。
なぜなら、わざわざセキュリティー対策をしているWEBサイトをハッキングしようとするよりも、その他に何百万とある一般的なURLのままのWEBサイトを狙った方が楽だからです。
最後に
一度ハッキングをされてしまうと復旧作業が非常に厄介です。
復旧作業はファイルを触らなければならないため素人の方ではほぼ不可能ですし、WEB制作業者に依頼をしても多くの場合で多額の費用が発生します。
なので、そもそもハッキングをされないための対策をしっかりと行なっておきましょう。
記事一覧に戻る