最近、ある読者からWordPressサイトがなぜハッキングされるのかという質問を受けた。
WordPressサイトがハッキングされているのを発見するのは悔しいものです。ハッカーはすべてのサイトを標的にしていますが、あなたのサイトが攻撃されやすくなるような間違いを犯しているかもしれません。
この投稿では、WordPressサイトがハッキングされる主な理由を紹介します。
WordPressはなぜハッカーに狙われるのか?
まず、WordPressだけではない。インターネット上のすべてのサイトがハッキングの危険にさらされている。
WordPressサイトがよく狙われる理由は、WordPressが世界で最も人気のあるウェブサイト・ビルダーだからだ。すべてのウェブサイトの43%以上、つまり世界中で何億ものウェブサイトを動かしている。
この絶大な人気により、ハッカーは安全性の低いサイトを簡単に見つけ、悪用することができる。
ハッカーがサイトをハッキングする動機はさまざまだ。中には、安全性の低いサイトを悪用することを学んでいるだけの初心者もいる。また、マルウェアを配布したり、他のサイトを攻撃したり、スパムを送信したりといった悪意を持っている者もいる。
そこで、WordPressサイトがハッキングされる原因の上位をいくつか見て、あなたのサイトがハッキングされるのを防ぐ方法を学びましょう。
1.安全でないホスティングサービス
すべてのウェブサイトと同様に、WordPressサイトはWebサーバー上でホストされています。一部のホスティングサービス会社は、ホスティングプラットフォームを適切に保護していません。そのため、そのサーバーでホスティングされているサイトはすべて、ハッキングの攻撃を受けやすくなっています。
これは、あなたのサイトに最適なWordPressホスティングサービスプロバイダを選択することによって簡単に回避することができます。適切にセキュアなサーバーは、WordPressサイトで最も一般的な攻撃の多くをブロックすることができます。
さらに万全を期したい場合は、マネージドWordPressホスティングサービスを利用することをお勧めします。
2.弱いパスワードの使用
パスワードはWordPressサイトの鍵です。ハッカーがあなたのサイトに完全にアクセスできるようにするため、以下の各アカウントに強力でユニークなパスワードを使用していることを本当に〜してもよいですか?
- WordPress管理アカウント
- ウェブホスティングコントロールパネルアカウント
- FTPアカウント
- WordPressサイトで使用するMySQLデータベース
- WordPressの管理およびホスティングに使用するすべてのメールアカウント
これらのアカウントはすべてパスワードで保護されている。弱いパスワードを使うと、ハッカーは基本的なハッキングツールを使って簡単にパスワードをクラックできる。
各アカウントにユニークで強力なパスワードを使用することで、このような事態を簡単に避けることができます。WordPress初心者のためのパスワード管理ガイドを参照して、強力なパスワードをすべて管理する方法を学んでください。
3.WordPress管理画面(wp-admin)への無防備なアクセス。
WordPressの管理エリアは、ユーザーがWordPressサイトでさまざまなアクションを実行するためのアクセス権を提供します。WordPressサイトで最もよく攻撃されるエリアでもあります。
これを無防備なままにしておくと、ハッカーはあなたのサイトをクラックするためにさまざまなアプローチを試みることができます。管理者ディレクトリに認証のレイヤーを追加することで、ハッカーを困難にすることができます。
まず、WordPressの管理エリアをパスワードで保護しましょう。これにより、WordPressの管理画面にアクセスしようとする人は、追加のパスワードを入力しなければならなくなります。
複数投稿者や複数ユーザーのWordPressサイトを運営している場合、サイト上のすべてのユーザーに強力なパスワードを強制することができます。また、2要素認証(2FA)を追加して、ハッカーがWordPress管理エリアに入るのをさらに難しくすることもできます。
4.不適切なファイル権限
ファイル権限とは、Web サーバーが使用する一連のルールです。これらの権限は、Webサーバーがサイト上のファイルへのアクセスをコントロールするのに役立ちます。ファイル権限が正しくないと、ハッカーにファイルを書き込んだり変更したりする権限を与える可能性があります。
WordPressのファイルはすべて、ファイル権限として644が設定されている必要があります。WordPressサイトのすべてのフォルダーのファイル権限は755でなければなりません。
これらのファイル権限を適用する方法については、 WordPressの画像アップロードの問題を解決する方法をご覧ください。
5.WordPressを最新版に更新しない
WordPressユーザーの中には、WordPressサイトの更新を恐れている人がいる。そうすることでサイトが壊れてしまうことを恐れているのだ。
WordPressの各新バージョンでは、バグやセキュリティの脆弱性が修正されています。WordPressを更新していない場合、意図的にサイトを脆弱な状態にしていることになります。
更新によってサイトが壊れることを恐れている場合は、更新を実行する前にWordPressの完全なバックアップを作成することができます。こうすることで、何かうまくいかないことがあっても、簡単に以前のバージョンに戻すことができます。
WordPressを安全に更新する方法については、初心者向けガイドでさらに詳しく説明しています。
6.プラグインやテーマを更新しない
WordPressのコアソフトウェアと同様に、テーマやプラグインの更新も同様に重要です。古いプラグインやテーマを使用すると、サイトが脆弱になる可能性があります。
WordPressのプラグインやテーマには、しばしばセキュリティ上の欠陥やバグが発見されます。通常、テーマやプラグインの作者はすぐに修正する。しかし、ユーザーがテーマやプラグインを更新しなければ、どうすることもできません。
WordPressのテーマとプラグインは本当に〜してもよいですか?WordPress、プラグイン、テーマの適切な更新順序については、ガイドをご覧ください。
7.SFTP/SSHの代わりにプレーンFTPを使う
FTPアカウントは、FTPクライアントを使用してWebサーバーにファイルをアップロードするために使用されます。ほとんどのホスティングサービスプロバイダは、異なるプロトコルを使用してFTP接続をサポートしています。プレーンFTP、SFTP、またはSSHを使用して接続できます。
プレーンFTPを使ってサイトに接続すると、パスワードは暗号化されずにサーバーに送信されます。つまり、パスワードはスパイされ、簡単に盗まれる可能性があるということです。FTPを使う代わりに、常にSFTPかSSHを使うべきです。
FTPクライアントを変更する必要はありません。ほとんどのFTPクライアントは、SSHだけでなくSFTPでもサイトに接続できます。サイトに接続する際に、プロトコルを「SFTP – SSH」に変更するだけです。
8.WordPressのユーザー名にAdminを使う
WordPressのユーザー名に’admin’を使うことは推奨されません。管理者ユーザー名が’admin’の場合は、すぐに別のユーザー名に変更してください。
詳しい手順については、WordPressのユーザー名を変更する方法のチュートリアルをご覧ください。
9.無効化されたテーマとプラグイン
インターネット上には、有料のWordPressプラグインやテーマを無料で配布しているサイトがたくさんあります。それらのプラグインやテーマを自分のサイトで使いたいと思うかもしれません。
信頼できないソースからWordPressテーマやプラグインをダウンロードすることは非常に危険です。サイトのセキュリティを脅かすだけでなく、機密情報を盗むために使用される可能性もあります。
WordPressのプラグインやテーマは、必ず開発者のサイトやWordPressの公式リポジトリなど、信頼できるソースからダウンロードする必要があります。
もしあなたがプレミアムプラグインやテーマを購入する余裕がないのであれば、それらの製品に代わる無料プラグインがいつでも利用可能です。これらの無料プラグインは、有料のものほど優れていないかもしれませんが、仕事をこなし、最も重要なことは、あなたのサイトを安全に保つことです。
また、WordPressの人気製品の多くは、当サイトのお得な情報セクションで割引を見つけることができます。
10.WordPressの設定ファイルwp-config.phpを保護しない
wp-config.phpWordPress設定ファイルには、WordPressデータベースのログイン情報が含まれています。もしこの情報が漏えいした場合、ハッカーがあなたのサイトに完全にアクセスできるようになる可能性があります。
.htaccessを使ってwp-configファイルへのアクセスを拒否することで、さらに保護層を増やすことができます。以下のコードを.htaccessファイルに追加するだけです:
<files wp-config.php>
order allow,deny
deny from all
</files>
11.WordPressのテーブル接頭辞を変更しない
多くの専門家は、WordPressの初期設定のテーブル接頭辞を変更することを推奨しています。初期設定では、WordPressはデータベースに作成するテーブルの接頭辞としてwp_を使用します。インストール時に変更するオプションがあります。
より複雑な接頭辞を使用することをお勧めします。こうすることで、ハッカーがデータベースのテーブル名を推測するのが難しくなります。
詳しい手順については、WordPressデータベースの接頭辞を変更してセキュリティを向上させる方法をご覧ください。
ハッキングされたWordPressサイトの修復
ハッキングされたWordPressサイトを修復するのは骨の折れる作業だ。しかし、それはできる。
ハッキングされたWordPressサイトの修復に役立つリソースをご紹介します:
- WordPressサイトがハッキングされている兆候(とその対処法)
- WordPressサイトに悪意のあるコードが含まれていないかスキャンする方法
- ハッキングされたWordPressサイトのバックドアを見つけて修正する方法
- WordPressの管理画面(wp-admin)からロックアウトされたときの対処法
- WordPressをバックアップから復元する初心者ガイド
ボーナス・チップ
強固なセキュリティのために、Sucuriはマルウェアの検出と除去サービス、および最も一般的な脅威からサイトを保護するWebサイトファイアウォールをプロバイダーとして提供しています。
Sucuriのおかげで3ヶ月で450,000件のWordPress攻撃をブロックできた話をお読みください。
また、WPBeginnerプロフェッショナルサービスをご利用いただくこともできます。
お客様のサイトがハッキングされた場合、当社の専門家チームが悪意のあるコード、ファイル、マルウェアをクリーンアップし、お客様の機密データの安全を確保します。料金は249ドルから。
この投稿で、WordPressサイトがハッキングされる理由のトップがお分かりいただけたと思います。また、ブログのトラフィックを増やす方法やWordPressのパフォーマンスを高速化する専門家のヒントもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?
Won’t this cause some other problem of not being able to access the file?
WPBeginner Support says
It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.
管理者
Jiří Vaněk says
Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.
SaifZiya says
Thanks for these amazing tips. I going to add the code to .htaccess file now.
Amit Khandelwal says
Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?
Dragos says
You can also not install in the default location your WordPress website so you can actually install the wp into a folder named “secure” and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.