WordPressの乗っ取りにあったら？原因・対策方法を解説

WordPressの乗っ取りをご存知ですか。 悪質なハッカーにWordPressをハッキングされると最悪の場合、WordPressを乗っ取られてしまう可能性があります。 この記事では、WordPress乗っ取りの原因や、乗っ取りにあう前にできる対策方法をご紹介します。ぜひ参考にしてみてください。

WordPressが乗っ取られたかもしれない！？兆候とは？

WordPressがハッキングされると、サイト自体が乗っ取られてしまうかもしれません。

特に、WordPressの管理者権限が乗っ取られると、サイト内のあらゆる情報にアクセスができ、コードレベルでテーマやプラグインを改ざんできてしまうことに加え、ユーザーパスワードを改ざんされログインができなくなってしまうなど、甚大な被害を被る可能性もあります。

自社サイトの異変にいち早く気がつけるよう、サイトが正常に動作していない場合にハッキングの可能性を示す兆候をご紹介します。
参考にしてみてください。

WordPressにログインできなくなっている

自社のWordPressサイトにログインできなくなっているときには、ハッキングや乗っ取りが行われた可能性があります。
パスワードを入力してもログインできないときには、パスワードのリセットを実行してみてください。

それでもログインできなければ、攻撃を受けているかもしれません。

トラフィックが急減している

急激にトラフィックが減少している場合には、Googleのブラックリストに登録されている可能性があります。

ドメインがブラックリストに掲載されると、検索結果に表示されなくなってしまいます。
これまでアクセス数が多かったサイトであれば、そのドメインからの流入や収益を失ってしまうことになるため、被害は深刻です。

トラフィック量はGoogleアナリティクスで確認ができますので、チェックしてみましょう。

サイトが勝手に変わる

サイトのレイアウトが勝手に変更になっている場合には、ハッキングや乗っ取りを疑ってみてください。

サイトがハッキングを受けた場合、トップページのリンクが変わっていたり、文字のサイズが変更されているなどの変化があることがあります。
また、まったく別のトップページへ置き換えられていたり、使用テーマが変わっていたりすることもあります。

ブラウザに警告が表示された

「サイトが危険にさらされています」といった警告メッセージがブラウザに表示された際にも注意が必要です。
サイト内のコードや、ドメイン、SSLの問題である可能性もありますが、ハッキングの可能性も捨てきれません。

警告メッセージと一緒に表示されるアドバイスや指示に従って対応するようにしましょう。

Googleからの警告が表示された

Googleなどの検索エンジンが警告を発することもあります。

自社サイトを検索画面から検索し「This site may be hacked（このサイトはハッキングされている可能性があります）」というメッセージが表示された場合には、サイトが攻撃を受けている可能性があります。

スパム広告が表示される

WordPressが乗っ取られてしまった場合、大量のスパム広告がある日突然出現することがあります。

身に覚えのない広告が表示されるようになった場合には、乗っ取りを疑ってみてください。

セキュリティプラグインから警告を受けた

セキュリティ対策のために導入していたプラグインから警告を受ける可能性もあります。

この場合にも、ハッキングや乗っ取りの調査が必要になります。

サーバー会社より警告を受けた

サーバーをレンタルしている企業より「スパムが検出されました」といった内容の警告を受けた際にも注意が必要です。

サイトが何らかの攻撃を受けている可能性があります。

別サイトにリダイレクトされた

サイトの訪問者を悪質な外部サイトにリダイレクトする設定をハッカーが施している場合もあります。

自社サイトを開いた際に別サイトに自動でリダイレクトされるスクリプトが発動した場合には、攻撃者からのハッキングを疑ってください。

WordPressの乗っ取りやハッキングによる被害例

WordPressの乗っ取りやハッキングが実際に起ってしまった際の被害には、以下のような例があります。

サイトの改ざん

頻繁にみられる被害例として、サイトの改ざんがあります。

トップページが全く別のページになっていたり、英語表記のメッセージが表記されたページに置き換わっているなどの被害例が報告されています。

バックアップを取っていないと元に戻せないため、被害が大きいです。

ウイルスへ感染

サイトに異常はないように見えても、ウイルスに感染させられている被害もあります。

サイトにアクセスしてしばらく時間が経過すると、勝手にファイルがダウンロードされ、ウイルスに感染する被害もあります。
サイトの管理者には作動しない仕組みが施されていることもあり、ウイルス感染に気がつくまでに時間がかかる例もあるので注意が必要です。

踏み台として利用される

WordPressのデータベースにまで侵入された場合には、フィッシングサイトに誘導するために踏み台にされてしまう危険性もあります。
WordPressはデータベースの上の一部のデータを編集すると、接続先を変更できるようになっているためです。

最悪の場合、自分のサイトを経由してフィッシング詐欺の被害が発生してしまうケースもあります。

不正ページが作成される

知らないうちに自社サイトに不正ページが作成されている被害もあります。

自社サイト内に作成された不正ページがGoogleにインデックスされてしまうことも。
不正ページから詐欺被害が発生した場合には、自社のサイトが疑われてしまう危険性もあります。

不正プラグインが導入されている

管理者が気がついていないうちに不正なプラグインが導入されていた被害例もあります。

不正なプラグインからサイトの訪問者に何らかのアクションを仕掛け、攻撃を拡大させます。

情報が漏洩する

WordPressのデータベースにある情報を抜き取られてしまう被害もあります。

ECサイトなどの利用者が多いサイトを運営している場合には、大量のユーザー情報が漏洩しまうかもしれません。
情報漏えいの責任問題にも発展する可能性もあります。

サイトが重くなる

自社サイトがDoS攻撃や、DDoS攻撃の被害にあっている場合には、サイト自体が非常に重たくなります。

攻撃によってサーバーがダウンしてしまう可能性あります。

WordPressが乗っ取られる3つの原因

WordPressの乗っ取り被害が発生してしまう原因は以下の3つです。

使用しているパスワードを突破される

使用しているパスワードやID名が突破されると、ハッキングや乗っ取りにあってしまいます。
現在使用しているパスワードやIDが推測されやすいものではないか、確認してみてください。

ブルートフォースアタックといい、パスワードを総当りする攻撃方法もあります。
プログラムを組んで、自動で攻撃を仕掛ける場合もあるので、注意が必要です。

ソフトウェアを最新版に更新していない

WordPressのソフトウェアが最新でない場合にも、攻撃される危険性があります。

2021年2月10日（米国時間）に世界中のWebサイトに対するWordPressのシェアが40％を超えたと発表がありました。
WordPressの利用率が高いため、ソフトウェアに脆弱性が見つかった場合にはハッカーの標的となりやすいです。

ソフトウェアは脆弱性の問題を解消するように更新されますので、新しいバージョンへの移行を迅速に済ませるようにしましょう。

セキュリティの低いテーマ・プラグインを使用している

WordPressのソフトウェア自体は最新の状態に保たれていたとしても、テーマやプラグインに脆弱性が見つかる場合もあります。

特に、複数のプラグインを自社のサイトに導入している場合には最新のバージョンになっているかの確認や更新を頻繁に行いましょう。
1つのプラグインの脆弱性が狙われてしまうと、サイト全体へ影響を及ぼしてしまいます。

WordPressの乗っ取りを防ぐ対策方法

ここまで、WordPressの乗っ取りにあったかもしれない兆候や、被害、原因を解説しました。
次からは、攻撃を未然に防ぐためにできる対策方法をご紹介します。

多要素認証の設定（二段階認証）

IDとパスワードによる認証に加え、多要素認証の導入も検討してみてください。

例えば、IDとパスワードでログイン時にSMSやメールで連絡し、番号を入力して認証する方法も多要素認証（二段階認証）の一種です。

セキュリティ対策サービスを利用

セキュリティ対策サービスを利用することもできます。

例えば、サーバーやホスティングサービス企業が提供しているSSL証明書サービスを利用すればセキュアな通信で、Webサイト運営ができます。
通信が暗号化されるため、データの盗み見や改ざんを防げます。

ユーザー名を複雑にする

WordPressのログインユーザーID名は、推測のしにくいものにしましょう。

かんたんに推測されるユーザー名の例として「admin」や「administrator」がありますが、これらの名前を使っているとパスワードを推測されてしまった場合に管理画面にログインされてしまう可能性が高まります。

ログインページのURLを変更

WordPressのログインページの初期URLは以下のパターンになっています。

• https://ドメイン/wp-login.php/
• https://ドメイン/wp-admin.php/

このままではログインページにアクセスがしやすいため「SiteGuard WP Plugin 」などのプラグインを使い、ログインページのURLを複雑にすることでセキュリティ対策ができます。

ユーザー名を表示させない設定をする

WordPressでは、「投稿者アーカイブ」のページURLである「https://WebサイトのURL/?author=ID」に、ユーザー名が表示されるような仕様になっています。

ユーザー名が推測されやすくなってしまうため、投稿者アーカイブのURLにユーザー名を表示させない設定をしておきましょう。
プラグインである「Edit Author Slug」などの導入で、この問題は解決できます。

WordPressを最新の状態に保つ

WordPressで脆弱性が見つかると、WordPress公式よりソフトウェアの更新がされます。

ソフトウェアを最新に保っておくことで、脆弱性を狙われるリスクが低くなります。
アップデートの際には、速やかに更新対応をしましょう。

公式の（信頼できる）テーマやプラグインを使用する

WordPressのテーマやプラグインは、企業・個人問わず、誰でも自由に公開することができます。

信頼できるか分からないテーマやプラグインを利用し、脆弱性があるとハッキングの原因となってしまいます。
評価やインストール数を確認し、信頼できるものを利用しましょう。

プラグインを頻繁に更新する

WordPressのソフトウェアが更新されていても、プラグインに脆弱性が見つかるとハッカーに利用されてしまう可能性があります。

特に複数のプラグインを利用している場合には、頻繁に更新を確認するようにしましょう。

管理画面に毎日ログインする

管理画面に毎日ログインするようにすれば、プラグインやテーマ、WordPressソフトウェアの更新通知を確認できます。

頻繁にログインすることで、何かの異変にも早く気がつくことができ、乗っ取りによる被害にも迅速に対応できます。

海外からのアクセスを制限する

日本国内向けのWebサイトを運営する場合には、海外からのIPをアクセス制限する方法もあります。

ハッカーは海外からアタックを仕掛けてくることが多いです。
海外からの不審なアクセスを拒否しておけば、問題を未然に防ぐ一助となるでしょう。

WordPressが乗っ取られたかも！？対処方法を解説

もしも自社サイトが乗っ取りやハッキングの被害をうけてしまったときには、次に紹介する対処方法があります。

メンテナンス中に変更する

サイトの挙動が確認された場合、まずはサイト全体を「メンテナンス中」に設定し、外部からのアクセスを制限しましょう。
こうすることで、訪れたユーザーにウイルスが感染する二次被害を防げます。

IDやパスワード、シークレットキーを変更する

サイトのパスワードやユーザーID、シークレットキーを変更しましょう。
攻撃者にログイン情報が漏れている場合には、次の攻撃を仕掛けられてしまうかもしれません。

サイトへのアクセスを制限する

指定のIPからしかアクセスできないようにする設定や、海外のIPからのアクセスを制限しましょう。
FTP接続、wp-login.phpファイル、wp-adminディレクトリなど、各所に制限をかける必要があります。

追加していないユーザーアカウントがないか確認する

乗っ取りが行われた場合には、身に覚えのないユーザーが登録されていることがあります。

不審なユーザー名が登録されていた場合には、削除しましょう。
また、使用しなくなったユーザーは都度削除しておくとセキュリティ対策になります。

WordPressやテーマ、サイトをスキャンする

WordPress全体や、テーマ、サイトにマルウェアやウイルスの感染がないかをスキャンします。
スキャンはプラグインや、Web上のサイトで行うことができます。

不審なコードを確認・削除する

不審なスクリプトやコード、ファイルがないかを確認し、削除しましょう。
自社では導入した覚えのないプラグインが勝手にインストールされているときもあるので、十分に注意してください。

テーマ・プラグインを再インストールする

不審なコードやスクリプト、ファイルを削除しても問題が解決しない場合には、テーマやプラグインを再インストールする方法もあります。
この場合、自社でカスタマイズした内容が初期化されるので注意しましょう。

PCにウイルスが入っていないかスキャンする

自社で使用しているPCもスキャンしましょう。
導入されているセキュリティソフトを使用すれば、フルスキャンができます。

バックアップを取得する

対応が終了したら、バックアップを取得しておきましょう。

手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド

当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。

Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。

ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアにかんたん導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。

セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。

また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ12,000以上のご利用実績がございます。

サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。

まとめ

WordPressは世界中で最も利用率が高いCMSであるという利点がある一方で、脆弱性が見つかった際に攻撃者の標的になりやすい注意点があります。

WordPressの乗っ取りが起こると、自社だけではなく、サイトのユーザーにも悪影響が及ぶ可能性があり、有事の際にも被害は最小限に食い止めたいですね。

この記事で紹介したセキュリティ対策や、もしものときの対処方法を参考にし、安全なWebサイト運営を行っていきましょう。