WordPress は、世界で最も広く使用されている CMS(Content Management System)の一つであり、その柔軟性と使いやすさが評価されています。しかし、その一方で、その普及率の高さからマルウェアや不正改竄の標的となることもあります。本記事では、WordPress のマルウェアと不正改竄について詳しく解説し、それらからウェブサイトを守るための対策を提案します。
WordPressマルウェアとは何か?
一般のマルウェアは「悪意のあるソフトウェア」を意味し、ウイルス、トロイの木馬、スパイウェアなどさまざまな形を取ります。WordPress のマルウェアは、特に WordPress サイトを攻撃するために設計されたもので、これに感染すると、サイトが遅くなったり、スパムが広まったり、さらにはユーザーの個人情報が盗まれる可能性があります。最近では、403 エラーを起こし、管理画面を含むサイト全体が閲覧できなくなるものも現れています。
WordPressの不正改竄とは何か?
不正改竄は、許可なくウェブサイトのコンテンツやコードが変更される行為を指します。これにより、サイトがハッキングの対象になり、悪意のあるコードが挿入されることで、訪問者にマルウェアを配布したり、リダイレクトを引き起こしたりします。
マルウェアと不正改竄の主な原因
WordPressのマルウェア感染や不正改竄の主な原因は以下の通りです。
未更新のプラグインやテーマ
プラグインやテーマは、WordPress のテンプレートや、機能を拡張するためのものですが、これらが最新の状態でないと、セキュリティの脆弱性が生じ、攻撃者に利用される可能性があります。
特にプラグインの脆弱性は常に多く発見されており、プラグインの脆弱性を踏み台にする攻撃は増え続けています。
弱いパスワード
弱いパスワードは簡単に推測され、攻撃者がサイトにアクセスするための道を開く可能性があります。
ブルートフォース攻撃(総当たり攻撃)など、パスワードに対する攻撃は常に行われており、最も注意が必要な項目です。
不適切なファイルのパーミッション
ファイルのパーミッションが不適切に設定されていると、攻撃者がサイトのファイルにアクセスし、それらを変更することができます。
ファイルのパーミッションは FTP ソフトで確認、変更でき、適切に設定されているか気にすべきです。
WordPressのマルウェアと不正改竄の対策
マルウェア感染や不正改竄を防ぐためには、以下のような対策が必要です。
プラグインとテーマの更新
プラグインやテーマは常に最新の状態に保つ必要があります。これらの更新は新機能を追加するだけでなく、セキュリティの脆弱性を修正するためにも重要です。また、使用していないプラグインやテーマは削除することで、攻撃対象を減らすことができます。
長い間更新されないプラグインやテーマは、使用を諦め、代替のプラグインやテーマに変更すべきです。
強力なパスワードの使用
強力なパスワードは、サイトへの不正アクセスを防ぐ重要な一環です。パスワードは複雑で一意なものにすべきで、それを管理するために PC やブラウザのパスワードマネージャーを使用すると良いでしょう。
また、ログインフォームに reCAPTCHA など、bot (プログラム)を使ってパスワードを解除しようとする攻撃を、防ぐ仕組みも効果的です。
ブログなどは Edit Author Slug のようなプラグインを使用して、ID が類推できないようにするのも有効です。
適切なファイルパーミッションの設定
WordPress のファイルとディレクトリのパーミッションは、正確に設定する必要があります。これにより、不必要なファイルへのアクセスや書き込みによる改変を防ぎ、サイトのセキュリティを向上させることができます。
WordPressのバージョンを最新に保つ
WordPress のコアファイル(主要機能を構成するファイル)も定期的に更新することが重要です。新しいバージョンにはセキュリティのパッチが含まれており、旧バージョンに存在する脆弱性を修正します。
できる限り最新のバージョンに保つことが求められます。
セキュリティプラグインの使用
WordPress には多くのセキュリティプラグインがあり、これらはマルウェアのスキャン、不正ログインの防止、ファイアウォールの設定など、多くのセキュリティ機能を提供します。
有名なものでは SiteGuard WP Plugin、iThemes Security、Wordfence Security、Google Authenticator、All In One WP Security & Firewall、BBQ Fire Wall などがあります。
定期的なバックアップ
万が一、サイトが攻撃を受けた場合でも、定期的なバックアップがあればサイトを復元することができます。バックアップは、サイトのすべてのファイルとデータベースを含むようにする必要があります。
有名なものには BackWPup、UpdraftPlus、All-in-One WP Migration、Duplicator などがあります。
また、バックアップは日にちの違う複数セットを残し、 WordPress と同じサーバー以外に保管すると安心です。
WordPressマルウェアと不正改竄の検出方法
マルウェア感染や不正改竄が発生した場合、早期に検出することが重要です。以下のような兆候があれば、注意が必要です。
ウェブサイトの動作が遅い
マルウェアはサーバー上のリソースを消費するため、サイトのパフォーマンスに影響を及ぼすことがあります。
サイトの表示速度が急に落ちた、管理画面で操作する度に異常に待たされるようになったといった症状が気になったら、確認してみましょう。
未知のファイルや不正なコード
FTP や WordPress 管理ダッシュボード、サーバーのファイルマネージャーを通じて見慣れない不明なファイルやコードを見つけた場合、それはマルウェアの可能性があります。必ず確認しておきましょう。
検索エンジンでのランキング低下
検索エンジンはマルウェアに感染したサイトをペナルティとしてランキングを下げることがあります。
なにもしていないのに、サイトの検索順位が落ちたら要注意です。
不正なリダイレクトや 403 エラー
ユーザーが意図しない別のウェブサイトにリダイレクトされる場合、または、急に 403 Forbidden エラーが頻発してサイトが正常に見られない場合、それは明らかにマルウェアの兆候です。
すぐに対処しなければいけません。
マルウェアと不正改竄からの回復
もしもマルウェア感染や不正改竄が確認された場合、以下の手順で対応します。
バックアップからの復元
最近のクリーンなバックアップがある場合、それを使用してウェブサイトを復元します。
この方法が最も早く、確実なので、使えればそれにこしたことはありません。普段から定期的にバックアップするよう心がけましょう。
マルウェアの削除
管理画面にアクセスできない場合は、ftp を用いて .htaccess や、WordPress コアファイルなどを回復し、管理画面が使えるようにします。専門的知識が必要になります。
その後、セキュリティープラグインを使用してマルウェアを削除します。また、手動で不審なコードを削除することも可能ですが、こちらはもっと専門的な知識を必要とします。
ただ、マルウェアを削除できるセキュリティープラグインは有料のものがほとんどです。
パスワードの変更
全てのユーザーアカウントのパスワードを即座に変更します。これにより、攻撃者が再度アクセスするのを防ぎます。
セキュリティ対策の強化
今後の感染を防ぐために、上述のセキュリティ対策を適用または強化します。
まとめ
WordPress のマルウェア感染と不正改竄は、ウェブサイトの安全性とユーザーエクスペリエンスに重大な影響を与える可能性があります。適切な対策を実施し、常に最新の状態に保つことで、これらの問題を防ぐことができます。
また、定期的なバックアップやセキュリティプラグインの活用により、感染や改竄が発生した場合でも迅速に対応することが可能です。
最後に、マルウェア感染や不正改竄の兆候に注意を払い、早期発見・対応を心掛けましょう。
