初心者にWordPressは危険

初心者がたいした知識もなくWordPressを始めるのは危険です!

あなたがブログやホームページを開設したいとしたら、WordPress が良いと勧められることも多いでしょう。
でも、ちょっと待ってください。安易にWordPressを始めるのは危険です。いま世界中のハッカーから、WordPressは狙われています。

ハッカーのイメージ

Wordpressのセキュリティプラグインを出しているWordfence.comの報告によると、とくに2017年12月以降にハッカーの不正な攻撃が急増しています。

その理由として、WordPressをハッキングした後に、仮想通貨の発掘(マイニング)という新しい使い道が出来たことが挙げられます。これが相当儲かるらしいのです。

私がつくったばかりのWordPressのサイトを見ても、1日10人くらいしか訪問者はいないのに、不正な攻撃はその数倍もあります。
たとえば、今年の3月30日には、63回も不正なマルウエアをアップロードしようとしたり、ディレクトリトラバーサルという攻撃が行われています。

ハッカーによる不正な攻撃

WordPressが狙われる理由

ハッカーにとってWordPressが 狙われるのは、主に4つの理由があります。

1.利用者が圧倒的に多い

W3Techsによると、世界中のサイトの30%以上がWordPressで出来ているそうです。
CMS(コンテンツ マネジメント システム)のなかでは60%を超えています。
しかも、WordPressのシェアは年々高まっています。
それほど多くのサイトがWordPressを利用しているわけです。

ということは、それだけハッキングの対象になるサイトが多いということです。

2.オープンソースである

WordPress は、無料でソースコードが公開されているオープンソースと呼ばれるソフトです。誰でもその内容を見ることができます。
WordPressは、オープンソースであることによって、多数の便利なアドオン(テーマやプラグイン)の開発が加速され、今の流行が生まれたのは間違いのないところです。が、反面ハッカーにとっても、セキュリティホール(ソフトの脆弱性)を見つけるのに都合が良いというわけです。

3.アドオン(テーマやプラグイン)も狙える

WordPressには、非常に沢山のテーマやプラグインも開発されています。なかにはセキュリティホールがあるのに更新されず放置されているものも多いです。ハッカーたちは、あなたが脆弱性が分かっているアドオンを使っていないか、常にチェックしていま す。

4.サーバーのスペックが高機能

WordPressを使っているサーバーは、MySQLというデータベースが使えて、PHPというプログラム言語がインストールされていて、CPUも一定の処理能力があることになります。それは、ハッカーがWordPressのサイトを乗っ取って、サーバーを動かそうとする場合にも、色々と使える高機能のサーバーだということを示しています。

ハッカーたちが攻撃する目的

ハッカーたちはいろんな目的でWordPressサイトを攻撃する

ハッカーたちは、一体なんのためにあなたのWordPressサイトを攻撃するのでしょうか?
そこには、多くの使い道(目的)があります。

例を挙げると、次のようなものです。

  1. 仮想通貨の発掘(マイニング)
  2. 不正プログラムの実行
  3. サイトの書き換え(嫌がらせや政治目的)
  4. フィッシング詐欺サイトとして利用する
  5. スパムメールを送信する
  6. SEOスパム(リンクを仕込む)
  7. 他のサイト攻撃の踏み台にする
  8. マルウェアをばら撒く サイト訪問者のPCを感染させる
  9. 訪問者を彼らのサイトにリダイレクトさせる
  10. ログイン情報などのサイトのデータを盗む
  11. ランサムウェア攻撃(サイトを乗っ取って身代金を要求)など

仮想通貨の発掘(マイニング)目的が急増しているらしい

このうち年末から急増している仮想通貨の発掘(マイニング)についてお話します。

ビットコイン、リップルコインなど仮想通貨のイメージ

XMR(モネロ)という仮想通貨があります。日本でも流出事故を起こしたコインチェックが扱っていました。
XMR(モネロ)を得るためのマイニングは、サーバーのハードウェアを使って効率的にできるそうです。そのため、ハッカーたちは、サーバーを操作する目的で、サイトへの攻撃に去年の12月から精を出し始めました。

Wordfence.com の話だと、すでにハッカー達は、10万ドル(約1千万円)相当のXMR(モネロ)を得ているということです。

あなたのWordPressサイトがハッキングされないために

あなたのWordPressサイトがハッキングされないための基本は、メンテナンスを怠らず、最新の情報を得るように勉強することだと考えます。

1.常に最新の状態を保つ

WordPressは、セキュリティの脆弱性やバグが見つかれば、新しいバージョンにアップデートされています。従って、WordPress の新しいバージョンが出る度に更新して、常に最新の状態を保たなければいけません。

同様にテーマやプラグインについても、最新のバージョンにしておく必要があります。

2.セキュリティプラグインを入れる

定評のあるセキュリティプラグインを入れることで

・ネットからの侵入を防ぐファイヤーウォールを設定する
・サイトの脆弱性チェック
・Wordpressサイトに悪意のあるコードが埋め込まれたら通知する
・不正なログインを検知する
・怪しいIPアドレスをブロックする
・自動的にデータベースやファイルをバックアップする、など

のことが可能です。

ただ、どのセキュリティプラグインも1つで間に合うようなものではありません。
また、機能の高いセキュリティプラグインは、データベースが大きくなったり、サーバーに負荷がかかる等のデメリットもあります。

加えて、設定が英語で、やさしい解説もあまりないので、初心者が使いこなすのは難しいかもしれません。

私のおすすめのプラグインは、

  • Wordfence Security
  • iThemes Security

の2つです。

3.プラグインとテーマの使用に注意する

米国のWebセキュリティ会社の調査によれば、Wordpressサイトがハッキングされたケースの半数が、安全でないプラグインやテーマを使っていたことが原因だそうです。

とくに何年も更新されていないプラグインやテーマは、脆弱性がそのまま放置されている危険があります。私のWordPressサイトのアクセスを調べても、時々そんなプラグインが使われてないか調べている跡が発見できますので、注意する必要があります。

安全なプラグインやテーマを選ぶ基準は2つです。

  1. メンテナンスされているプラグイン・テーマを選ぶ
  2. 使用者が多く、評価の高いプラグイン・テーマを選ぶ

4.バックアップを取る

なにかあったときに、すぐに元に戻すために、必ずバックアップを取ることが重要です。データベースとファイル、両方について定期的にバックアップを取ります。

バックアップ用プラグインを使うほかに、サーバーによっては毎日自動的にバックアップを取ってくれるところもあります。後者がラクなので、そんなサーバーを選ぶのがおすすめです。

5.安価なサーバーに注意する

上の自動バックアップ以外にも、WordPressのセキュリティについては、サーバーによって差があります。

たとえば、
・WordPressの自動更新ができないサーバーがあります。
・WordPressの特定のファイルへの海外からのアクセスを遮断すると安全度は増しますが、しているサーバーとしていないサーバーがあります。
・セキュリティプラグインを使うと、遅くなってしまうサーバーがあります。

そんなわけで、WordPressを利用するのにサーバー選びは重要です。安価だからといって飛びつくと痛い目にあうかもしれません。
おすすめは、このブログが使用しているWordPress専用のwpXサーバーです。

wpXサーバーの詳細を見る
↓ ↓
wpXレンタルサーバー

管理人

いかがですか?もしネットショップをやっている人がWordPressサイトの不正アクセスを許したら、信用もガタ落ちになるでしょう。それは絶対に防がないといけません。

ネットに詳しくない人は、WordPress以外のプラットフォームを利用する方がまだ安全だと思います。
ショップであれば、「グーペ」「おちゃのこさいさい」のようなネットショップサービス会社が行っているものでホームページを作成するのがおすすめです。

グーペの詳細
↓ ↓
ホームページ作成サービス「グーペ」

おちゃのこさいさいの詳細
↓ ↓
ホームページ作成サービス、おちゃのこさいさい