お知らせ

御社のWordPressのセキュリティは大丈夫ですか?

ITお役立ち情報

使いやすさや導入のしやすさ、価格や拡張性などの理由から、CMSトップシェアである「WordPress」を利用している企業は数多く存在します。しかし、WordPress本体やプラグインに脆弱性が発見されることもしばしばあり、運用において問題が発見されても対応されることが無いまま放置されているケースが存在します。

これに至る原因としては、外部業者に構築してもらったため現状が把握できないまま運用が進められている、ある程度の知識がある社員に作業で構築させたためセキュリティまで意識が回っていない、作られてから担当者が不在で手が付けられていないなどが考えられます。特に最近ではワンクリックで構築自体ができてしまう手軽さのため、運用面を考慮せずに立ち上げて放置してしまうパターンが見られます。

脆弱性による攻撃事例

セキュリティアップデートを放置した場合にどういった攻撃をされる可能性があるのか、過去の事例から紹介します。

大量アクセスの踏み台

WordPressで構築されたサイトを踏み台とし、他サイトへのアクセスを数秒間に数百回送り付けるといった攻撃がありました。直接の被害は攻撃されたサイトではありますが、間接的ではないにしろ加害者としてサイトを利用されてしまうことがあります。

サイト内容の書き換え

攻撃者がサイトの内容を書き換えられてしまう脆弱性が発見されたことがあります。権限のないユーザーでも特定の文字列を入力するだけで書き換えができてしまうほど深刻な脆弱性で、155万件にも及ぶ被害がありました。

ランサムウェア埋め込み

ランサムウェアとは、パソコン内のファイルが暗号化され読み取れない状態となり、暗号化を解除する代わりにお金を要求されるというサイバー攻撃です。

サイトが書き換えられ、ランサムウェアをはじめとする悪意のあるコードが様々埋め込まれてしまうということがありました。結果、特定の環境化でサイトを閲覧しただけで、閲覧者はランサムウェアに感染してしまい、パソコン内のデータが暗号化されてしまいます。

対策方法

一般的な対策としては、WordPress本体やプラグインを最新の保つ、管理画面の認証を複雑化するが挙げられます。とはいえ、サイトひとつひとつの作りや環境に合わせた対処が必要となるため、WordPressの知識はもちろん、セキュリティの知識が必要となります。

弊社ではWordPressはもちろんサイト全般のセキュリティ診断や相談をお受けしております。まずはお気軽にお問い合わせください。

Contact お問い合わせ