WordPressは利用者が世界で最も多いCMSですが、そのぶん狙われやすいCMSでもあります(攻撃できる対象がたくさんあるため)。
そのため実際にWordPressが乗っ取られた・改ざんされたということも珍しくなく、しっかり対策しておかなければなりません。
そこで今回はWordPressが実際に攻撃を受けるとどういう被害を受けてしまうのか紹介します。
WordPressが攻撃されるとどうなる?
サイトが改ざんされる
一番よくあるのがサイト自体が改ざんされてしまうことでしょう。
今まで表示されていたはずのトップページが全く知らないページに大きくなっていたり、「Cracked…」などと書かれているだけの乗っ取り成功メッセージだけが残されていることもあります。
バックアップを取っていないままサイトが改ざんされてしまうと元に戻すことはほぼ不可能であるため、かなり深刻な状態と言えるでしょう。
最悪の場合はWordPress経由でサーバーに侵入されて、サーバーの管理権限すらも乗っ取られて改ざんされる可能性があります。
WordPress管理画面が乗っ取られる
ブルートフォースアタックなどでWordPressに侵入されてしまった場合、管理画面が乗っ取られてしまいます。
編集者権限以下のアカウントでの不正ログインに成功した場合であれば、既存記事の改ざん程度で済みますが、深刻なのはWordPress上のあらゆるところにアクセスできてしまう管理者権限アカウントが乗っ取られたときです。
管理者権限を持つアカウントが乗っ取られてしまうと、使用中テーマやプラグインをコードレベルで改ざんできてしまうほか、勝手にプラグインをインストールさせてしまうこともできてしまいます。
ユーザーアカウントのパスワードも勝手に変更できてしまうため、ユーザーアカウントが乗っ取られたら最後、既存のWordPressユーザーではWordPressにログインできなくなってしまうでしょう。
ウイルスを仕込まれる
サイトの見た目こそ何も変わっていないもののウイルスが仕込まれてしまうことがあります。
サイトにアクセスしてしばらく待つといきなり身に覚えのないファイルがダウンロードされるようになるなど、サイトを訪問してきたユーザーに被害を及ぼす可能性がある非常に危険な状態です。
WordPress管理者にはダウンロードさせないよう、ログイン中ユーザーに対しては作動しないプログラムを仕込まれることもあり、常にログインしている状態だと気づきにくい攻撃の一つでしょう。
フィッシング詐欺の踏み台にされる
フィッシング詐欺の踏み台にされることもあります。WordPressは仕様上データベースの中の一箇所を変更するだけで接続先のサイトを変更することができるため、万が一データベースに侵入されてしまうと簡単にフィッシング詐欺の踏み台にされてしまいます。
フィッシング詐欺の踏み台にされてしまうと自分のサイト経由で詐欺被害が発生してしまうため、自分のサイトが詐欺サイト・ウイルスサイトと認定させる可能性もあり、最悪の場合は取り返しが付きません。
サイトが非常に重くなる
Dos攻撃もしくはDDoS攻撃を受けた場合はサイトが非常に重たくなります。最悪の場合はサーバー自体が停止してしまうでしょう。
情報漏えい
サーバーに不正アクセスされるとデータベースにあるユーザー情報が盗まれてしまい、情報漏えいが発生することがあります。
WordPressアカウントを持ってるのが管理者本人だけであれば被害は軽微ですが、WordPressを使ってECサイト・掲示板サイトを構築している場合だと話が変わってきます。
この場合はたくさんのユーザーがアカウントを作成している状態になるため、データベースに利用しているユーザーの情報がたくさん保存されています。
それらの重要な情報が不正アクセスによって盗まれてしまうと様々な責任問題が浮上することになるでしょう。
損害賠償を支払う可能性もある
不正アクセスによって情報漏洩が発生した場合、サイト簡易者・運営者は被害者になりますが、被害者であるにも関わらず損害賠償を支払う可能性があります。
個人情報を扱う側が情報漏えいを引き起こしてユーザーのプライバシーに損害を与えた場合、民事上の損害賠償責任が発生します。
損害賠償上限は一人当たり数千円から数万円とそこまで大きな金額にはなりませんが、利用ユーザー数によっては数千万円規模の損害賠償になる可能性があるため、個人情報を扱うからには絶対に漏洩しないように対策しなければなりません。
Googleのブラックリストに登録される
一番最悪なのがGoogleのブラックリストに登録されてしまうことです。フィッシング詐欺の踏み台にされたり、ウイルスを訪問ユーザーに広めてしまう状態、不正なスクリプトなどが仕込まれているとGoogleによってアクセスしてはいけない危険なサイトとして認識されてブラックリストに登録されることはあります。
管理画面が乗っ取られたり情報漏えいが発生した場合も、取り返しがつかないとはいえしっかりバックアップを取ったり責任を果たしたらやり直しが効く程度の被害です。
ですがGoogleのブラックリストに登録されてしまうと話は変わってきます。万が一ブラックリストにドメインが登録されてしまった場合、そのドメイン下のページが一切Google検索結果に表示されなくなってしまい流入経路をまるごとひとつ失ってしまうことになるのです。
個人サイトであればドメインを変更することで解決しますが、法人サイトやブランド名をドメインにしている場合などは少し事情が変わってきて気軽にドメインを変更するわけにもいきません。
そのため、Googleのブラックリストに登録されないためにもWordPressに不正アクセスされないよう対策しておく必要があります。
WordPress攻撃事例
実際にWordPressが攻撃されてサイトが改ざんされた事例は数百万件規模で存在します。そこで何が原因で攻撃されたのか、実際の攻撃事例を見ていきましょう・
REST APIを利用した改ざん
WordPresバージョン「4.7.0」「4.7.1」を使っていたサイトが150万件以上不正改ざん・ハッキングに遭う被害がありました。
これはWordPressの機能一つREST APIが悪用した攻撃で、本来なら認証されていないと使えないREST APIを認証無しで第三者が利用できてしまうことにより、サイトが遠隔で不正改ざんできてしまうというものでした。
これにより150万サイト以上が改ざんされてフィッシング詐欺の踏み台やサイトの破壊などの被害に遭っていました。当然ですがこの脆弱性は2017年初頭に修正されており、現在はそういった問題ありません。
WordPressプラグイン「File Manager」を利用したサーバーハッキング
WordPress管理画面からサーバーにファイルをアップロードできるプラグイン「File Manager」によってWordPressでなくサーバーがまるごと乗っ取られる被害があったことが2020年9月に発表されています。
File Managerはサーバーに直接ファイルアップロードできるプラグインであるため、必ず管理者権限を持つWordPressユーザーしか利用できないプラグインだったのですが、File Managerプラグイン不具合によってWordPressにログインしていない、認証されていない第三者でもファイルをアップロードできる状態になっていました。
この脆弱性によって悪意あるファイルがサーバーにアップロードされて実行、サーバーやWordPressが乗っ取られるという大変なことが起きていました。
現在は既に修正されていて同様の脆弱性で不正アクセスされることはなくなりましたが、プラグインにはこのような不具合がはらんでいる可能性を忘れないようにしておくことも大切です。
ブルートフォースアタックによるサイトの乗っ取り
自分が管理画面にアクセスしやすい・長いパスワード覚えられないという理由で単純なユーザー名やパスワードを使用している方は一定数いると思いますが、そういった脆弱な状態にしているとブルートフォースアタックによってサイトを乗っ取られることがあります。
もちろん実際に悪質なハッカーによるブルートフォースアタックが成功してWordPress管理画面への不正アクセスされてそのままユーザーのパスワードを変更、侵入したハッカーが好きなようにサイトを改ざんするということも珍しくありません。
管理者権限を持つユーザーで不正ログインされてしまうとWordPress上のあらゆることができてしまうので、脆弱なユーザー名・パスワードを使うことは望ましくありません。
WordPressのセキュリティチェックはおまかせください
セキュリティ対策をすると言っても、セキュリティ関係の知識が無い方だと何が足りていなくて何の対策をすればいいのかよくわかっていない方も多いでしょう。
そういうときはWordPressのお医者さんまでご相談ください。これからどういったセキュリティ対策を行えばいいのか、今の状態だとどういった攻撃に遭う可能性があるのかといったことをお伝えいたします。
また、希望するのであればそのまま必要なセキュリティ対策もコチラで行わせていただきますので、ぜひご相談くださいませ。