ハッカーがサイトをハックする方法と理由を説明する前に、WordPress ウェブサイトの構造を理解する必要があります。 これは、ファイルとデータベースで構成されています。 WordPress のファイルには主にすべての設定と構成が含まれ、データベースには投稿、コメント、ユーザー、およびその他のものの束のすべてのデータが格納されます。
両方の要素が、Web サイトのフロントエンドを生成するために必要とされます。 しかし、両方ともハッカーに悪用される可能性があります。
まず、ハッカーが WordPress サイトに侵入する方法について見ていきましょう。 ハッカーがどのように脆弱性を突いてあなたのサイトをハックすることができるかを示す教育的な記事です。 つまり、始めましょう。
6 Common Vulnerabilities That Enable Hackers To Hack WordPress Sites
ウェブサイトをハックするには、脆弱性のポイントがあるはずです。 WordPressのWebサイトに見られる共通の脆弱性をリストアップしました:
Running Outdated WordPress Installation
2018年のレポートによると、ハッキングされたWordPress Webサイトの約44%が古いインストールで動作していました。 ウェブサイトの所有者として、次のように、WordPress インストールに利用できる頻繁なアップデートを目にすることができます:
通常、アップデートには新機能、バグ修正、または非互換性の問題の解決などが含まれています。 また、WordPress のセキュリティ パッチも含まれていることがあります。 つまり、ソフトウェアにセキュリティ上の欠陥が見つかった場合、開発者はすぐにそれを修正し、その欠陥を取り除く更新プログラムをリリースします。 ハッカーは、更新していない Web サイトを探し出し、その欠陥を見つけ、それを使ってサイトに侵入します。
ですから、WordPress インストールを更新しないことを選択すると、新しいセキュリティ機能をインストールしていないことになり、あなたの Web サイトをハッカーに大盤振る舞いにしてしまうことになります。 V5.2 や V5.3 であれば、メジャー アップデートかどうかがわかります。 マイナー アップデートは、たとえば、V5.2.1 となります。 デフォルトでは、マイナーアップデートは自動で行われますが、オフにすることも可能です。 プラグイン、テーマ、およびコアを更新し続けることに加えて、WordPress の salt とセキュリティ キーも更新し続けることを強くお勧めします。
弱い認証情報の使用
ハッカーの侵入口としてもう一つよくあるのが、弱い認証情報です。 ハッカーは、インターネット上のWordPressサイトをスキャンするボットをプログラムし、ユーザー名とパスワードのさまざまな組み合わせを試みて、ウェブサイトに侵入するブルートフォース攻撃という方法を使用します。
ログイン名を「admin」にしている場合、彼らはすでにあなたのサイトへのアクセスに一歩近づいていることになります。 しかし、「password123」のような一般的なパスワードを使用していた場合、彼らにとっては簡単に推測できるものです。 これらのボットは、わずか1秒間に何千、何百万ものハッキングを試みることができます(推奨記事 – WordPressログインページ保護ガイド)。
パスワードを数字や記号を組み合わせたパスフレーズに変更し、以下のようにこれまでと同様に強固なパスワードにすることをお勧めします:
Having Pirated Themes Installed
プレミアムテーマは魅力的で、自分のウェブサイトに素晴らしいテーマがあってユニークにしたいと誰もが思うことでしょう。 多くの場合、Web サイトの所有者は、これらのテーマの無料版、クラック版、または海賊版の餌食になっています。 信頼できないソースからのそのようなテーマは、プリインストールされたマルウェアを運ぶことができます。 WordPressのウェブサイトにインストールすることで、マルウェアもインストールされてしまうのです。 これは、ハッカーへの扉を開くことになります。 これがどのように起こるかは後で詳しく説明します。
テーマは常に、WordPress のリポジトリや ThemeForest や ThemeTrust などのマーケットプレイスなど、信頼できるソースからのみダウンロードするようにしましょう。
脆弱なプラグインを使用する
ハッカーは、プラグインのセキュリティのギャップを見つけるために常に徘徊しています。 もしそれを見つけたら、そのプラグインがインストールされている WordPress サイトをインターネットでスキャンするでしょう。 これは、数分で何千もの Web サイトに侵入することを可能にします。
多くの場合、特に無料のプラグインでは、開発者がこれ以上維持できないと判断して、プラグインを放棄することがあります。 (これはテーマでも起こりえます)。 このような場合、プラグインのセキュリティは失効し、サイトにインストールすることは脅威となります。
プラグインは WordPress リポジトリや CodeCanyon など、信頼できるソースからのみダウンロードするようにしましょう。 使用しなくなった WordPress プラグインやテーマは、定期的に削除してください。 使用しているプラグインのステータスを確認し、開発者によって更新および保守されているかどうかを確認する。
安全でないローカルシステムを使用する
場合によっては、コンピュータ自体が安全でないことがあります。 ほとんどの場合、wp-admin はすでにログインして開いているので、誰かがあなたのシステムにハッキングすると、簡単に WordPress サイトにアクセスできます。
これは、あなたのシステムにファイアウォールやマルウェア対策ツールをインストールしていない場合に起こる可能性があります。
Using Poor Web Hosting Service
While choosing a hosting plan, we tend to look for the cheapest one. しかし、最も安いからといって、必ずしも良いセキュリティ対策が保証されているわけではありません。 Web サーバーを共有しているサイトが、セキュリティ プロトコルを実装しているかどうかを知ることはできません。 もし彼らがハッキングされたら、マルウェア感染があなたのサイトにも広がる可能性があります。
また、ウェブサイトのホストが危険にさらされることもあり、ホスティングプラットフォーム上のすべてのウェブサイトがハッカーの悪用にさらされることを意味します。 ハッカーは、脆弱なサイトを見つけるために、独自のボットを作成したり、オンラインで利用できる無料の脆弱性スキャナーを使用して、インターネットをくまなく調べます。 そして、スパム メールの送信や違法な製品の販売など、悪意のある活動を実行するコードを注入します。 また、新しいユーザー アカウントや WordPress のバックドアを作成するコードを注入し、いつでも好きなときにサイトへのアクセスを回復できるようにします。 ここでは、ハッカーが Web サイトにコードを注入して新しいユーザー ログインを作成する、最も一般的な 2 つの方法について説明します:
I. ファイルを介して (海賊版のテーマにプレインストールされたマルウェア)
先に説明したように、多くの WordPress サイト所有者が海賊版のテーマの餌食になっています。 すべての機能を無料で手に入れることができます! しかし、そのようなソフトウェアには、新しいログイン ID を作成するためのスクリプトが含まれていることがあります。 テーマをインストールすると、新しいユーザー アカウントが作成され、ハッカーは WordPress の管理画面からウェブサイトに簡単にログインできます。
ここでは、テーマ ファイルを使用して、WordPress ウェブサイトに新しいユーザー アカウントを作成する方法について説明します。 これは、海賊版のテーマがハッカーのサイトへのアクセスにどのように役立つかを理解するのに役立ちます。
ヒント: これは、wp-admin からロックアウトされても Web ホスティング アカウントにアクセスできる場合にも便利です。
注意:
WordPress サイトの舞台裏に行くことは危険な行為です。 テスト サイトまたはステージング サイトでこれを行うのが最善です。 本番サイトで行う場合は、信頼できるバックアップを取るようにしてください。 何かがうまくいかない場合、WordPressのバックアップを復元することができます。
Step 1: WordPressホスティングアカウントにログインします。 cPanel に移動し、ファイルマネージャにアクセスします。
FTP 認証情報を使用して FileZilla などの FTP クライアントからファイルにアクセスすることもできます。
Step 2: WordPress ファイルは通常 public_html というフォルダに格納されます。 その中に、wp_content/themes.
Step 3: ここで、あなたのウェブサイトでアクティブなテーマを選択し、 functions.php
ステップ 4: ファイルの最後に次のコードをコピーして貼り付けることが必要です。 (このように閉じタグがある場合 ?> この前の行にコードが来ることを確認してください。)
$new_user_email = ‘[email protected]’;
$new_user_password = ‘password’;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‘ID’ => $user_id, ‘nickname’ =&amp.jp; ‘nickname’ =&ampamp;amp;amp;amp;amp;gt; $new_user_email));
$user = new WP_User($user_id);
$user-> $new_busers-&ler-> $new_buser_id);
$user = new WP_User($user_id)amp;amp;amp;amp;amp;amp;amp;amp;gt;set_role(‘administrator’);
}
最初の2行をお好みのメールとパスワードに編集してください。 ファイルを保存して Web サイトを開くと、コードが実行され、これらの新しい認証情報を使用してログインできます。
このコードのブロックがある場合、海賊版のテーマをインストールすると、新しいユーザー アカウントが作成されることを理解していただけたと思います。 ハッカーがしなければならないのは、認証情報を入力してログインすることだけです。
II. データベース経由 – SQLインジェクション
これは、WordPressサイトがハッキングされる最も一般的な理由の一つです。 はじめに、SQL インジェクションについて 2 つのことを知っておく必要があります。
-
- WordPress はデフォルトのデータベース システムとして MySQL を使用しています。
- ウェブサイトのフロントエンドを生成するために、WordPress はデータベースからデータを引き出す SQL クエリを使用します。
これが何か、その詳細について今は心配しなくてよいのです。 知っておくべきことは、このデータベースは cPanel > phpMyAdmin を通してのみアクセス可能であるということです。 しかし、ハッカーはcPanelを使用せずにアクセスする方法を見つけます。
フォームとは、WordPress ログイン バー、お問い合わせフォーム、WordPress ブログ コメント、購読ポップ、チェックアウト ページ、サイト検索バーなど、テキストを入力できるあらゆる要素のことです。 フォームに入力されたすべての情報はデータベースに保存されるため、この悪意のあるコードが入り込むことになります。
これがどのように起こるかを説明するために、データベースを使用して新しいユーザー アカウントを作成する方法を紹介します。
→データベースを使って新しいユーザーアカウントを作成する
ステップ1:cPanelにアクセスし、phpMyAdmin > Databases.
ステップ2:ここで、データベースのリストが表示されます。 データベースを選択する必要があります。 (データベース名がわからない場合は、このように wp-config で調べることができます).
ここでは wp-config ファイル内の名前に従ってデータベースを選択しました。
ステップ3:次に、右パネルにポップアップするテーブルから、_usersで終わるテーブルを探します(それはほとんどの場合、wp_usersという名前になります)。
ステップ4:ここで、「挿入」をクリックできます。
ステップ5:次の画面が表示され、ユーザーのログイン名、パスワード、電子メールアドレス、表示名が入力できるようになっています。
Step 6: 次に、「Go」をクリックすると、変更が保存されます。 これで、新しい資格情報を使用して WordPress にログインできます。
同じことは、データベースに SQL コードのブロックを挿入することによって行うことができます。 海賊版のテーマと同様に、コードがデータベースに入ると、それが実行され、新しいユーザーが作成されます。
How To Stop Hackers From Hacking Your Website?
There are four main steps you need to take in order your site secure enough to keep hackers at bay:
Install a WordPress Security Plugin
Every WordPress website needs a security plugin such as MalCare.これはハッカーの自宅を訪問し、自分自身のドアを作成するのと同じくらい簡単に行えるセキュリティ プラグです。 定期的にウェブサイトをスキャンするこのようなプラグインで、WordPress サイトを保護します。 これは、疑わしい活動を発見し、悪意のあるトラフィックをブロックし、ハッカーを締め出すことができます。 万が一、ハッカーが侵入した場合、すぐに警告が表示され、彼らが損害を与える前に、即座にウェブサイトをクリーンアップすることができます。
SSL証明書をインストール
この証明書は、データの暗号化であなたのウェブサイトを提供します。 これは何を意味するかというと、誰かがあなたのウェブサイトを訪問したとき、データは彼らのコンピュータとあなたのウェブサイトのサーバーの間で転送されます。
それが平文で転送されている場合、時々周りに潜んでいるハッカーは、そのデータをつかむことができることです。
しかし、暗号化されていれば、たとえハッカーがそれを手に入れたとしても、解読することはできないでしょう。 証明書に高額な費用をかけるのが心配な場合は、LetsEncryptなどのプロバイダーが無料のSSLを提供しています。
SSL証明書のインストール方法については、こちらのガイド – HTTPをHTTPSに移行するを参照してください。 脆弱性を最小限に抑えるために、以下の対策をとることをお勧めします。
-
- WordPress およびそのテーマとプラグインの更新は、最優先事項です。
- ブルート フォース攻撃を避けるために、常に強力なログイン認証情報を使用するようにします。
- 使用していないテーマとプラグインを定期的に削除します。
- 違法なテーマとプラグインは絶対に使用しないでください。 WordPress リポジトリ、CodeCanyon、または ThemeForest などの信頼できるソースから常にそのようなソフトウェアをダウンロードします。
- 信頼できる Web ホスティング サービス プロバイダーを使用します。
- マルウェア対策ソフトウェアをインストールして、ローカル コンピューターを保護します。 これらの措置には、次のようなものがあります。
- WordPress のファイアウォールを有効にしてください。 これは、ログイン試行回数を制限するのに役立ちます。 すべてのユーザーが正しく認証情報を入力できるチャンスは3回だけで、その後は「パスワードを忘れた場合」を選択するか、管理者に連絡する必要があります。 このステップを実装するために同じ MalCare プラグインを使用できます。
- Web サイトで作業する複数のユーザーがいる場合に、プラグインのインストールを無効にする。 あなたは、彼らがあなたのサイトを持っている信頼性の高い、信頼できるかどうかを確認せずに、誰も自由にプラグインをインストールしないようにしたいと思います。 これは、インストールしたWordPressのwp-config.phpというファイルを編集することで、手動で行うことができます。 また、このためにMalCareプラグインを使用することもできます。
- 2要素認証を実装してログインしている人を確認することができます。 これは、登録した携帯電話やメールにワンタイムパスワードを送信したり、30秒ごとにリアルタイムでパスワードを生成するGoogle Authenticatorなどのアプリを使用することで行います。
ウェブサイトを強固にする方法は、ほかにもたくさんあります。 Web サイトの要件に応じて、これらの手順を実装することをお勧めします。
そのほかにも、いくつかのセキュリティ対策を講じることができます。 このガイドに従うことを強くお勧めします – Secure Your WordPress Site With wp-config.php.
最後に思うこと
この記事により、ウェブサイトに脆弱性が現れる方法とハッカーの侵入経路について、より深く理解していただけたと思います。 ハッカーは偏見を持たず、どんなサイトでもターゲットにします。
つまり、要約すると、脆弱性を最小限に抑え、セキュリティ プラグインをインストールし、Web サイトを強化して、ハッカーに侵入される可能性をなくすことをお勧めします。
当社の MalCare セキュリティ プラグインで Web サイトを安全に保つ!