https://wordpress.com/ja/より

WordPressはPHPというプログラム言語を使っていて、MySQLというデータベースで情報を蓄積し、システムを動かしています。

情報をストックしていくのがこのMySQLという情報の倉庫(データベース)なのですが、ここにはWordPressサイト運営に関する様々な情報が蓄積されていきます。

ブログの記事の情報もそうですし、ログイン画面のIDパスワードやカテゴリや設定関係の情報も全てこのデータベースに格納されています。

このWordPressで使うMySQLというデータベースを悪意のある外部の人間が不正に侵入しようと試みる方法の一つが、SQLインジェクションと呼ばれている攻撃です。

データベースの中の情報は、SQL構文という法則によって規則的に配置されています。
WordPressのサイト側から情報が入力されれば、この法則に従ってデータベース内に記録されていきます。

SQLインジェクションという不正なアクセスは、このSQL構文の厳格なルールを崩して、データベース内部の情報を破壊したり、情報漏洩を試みたり、データベースの内容の書き換えや削除や、めちゃくちゃに破壊することを目的としています。

WordPress本体やテーマやプラグインが常に最新版にアップデートするよう求められているのは、何らかの弱点が見つかった時に、このような攻撃を防げるようなプログラムに修正が求められているということなのです。

SQLインジェクションの格好の

ターゲットはどんなサイト?

ここまで見てきますと、わざわざSQLインジェクションで攻撃をするのは、データベースにお客様の様々な情報が蓄積されているWordPressサイトということになります。

例えば、会員情報入力フォームがあり、お客様の情報をデータベースに登録して、マイページを持っているような会員制サイトが、格好の攻撃対象として挙げられます。

その他にも、MySQLのデータベースを利用したプログラムの全てにおいて、攻撃対象であるということができます。

具体的な攻撃方法としては、会員情報入力フォームや、お問い合わせフォームに、プログラムが誤作動を起こすような情報を入力して、データベースの内部に侵入する形がほとんどです。

A' OR TRUE(サンプルです)

例えば上記のカギカッコ内のテキストを入力フォームの入力窓に入れて送信するだけで、WordPressのアップデートやプラグインの更新などの対策がきちんと取られていないホームページは、誤作動を引き起こす可能性が高まります。

多くの場合は、個人情報をデータベースから外部に漏洩させたり、自分たちのサーバーにコピーしたり、通信で情報を引っ張ってきたりしたいということになります。

このようにSQLインジェクションとは、一般的には氏名や商品名や住所名を入れたりする入力窓に、誤作動を引き起こす上記のようなプログラムで記述された文面を入力(SQL構文への挿入と言います)することで引き起こされます。

一度このようなSQLインジェクションで不正なプログラムが入力され後作動を引き起こされると、この部分だけを取り除くだけではリカバリーが困難な事もあり、サイト全体を作り変える必要が出てくる場合も想定されます。

事前にこのような攻撃をされる隙を作らないように対策をしておかなければなりません。

まだデータベースにお客様の個人情報を入れていないから、攻撃されないということはありません。
確かにお客様情報がデータベースに入っていなければ、個人情報の漏洩というリスクは逃れるかもしれません。

しかし、乗っ取りをされて、自分のWordPressやドメインが、悪意のある人の思いのままに操られて、犯罪の拠点にされる可能性もあるのです。

こちらは10年以上前の事件ですが、このような感じでパソコンやサイトが乗っ取られて、拠点にされることも実際に過去に起こっています。

パソコン遠隔操作事件(出典:フリー百科事典『ウィキペディア(Wikipedia)』)
https://ja.wikipedia.org/wiki/%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3%E9%81%A0%E9%9A%94%E6%93%8D%E4%BD%9C%E4%BA%8B%E4%BB%B6

今の時代はWordPressで作られているサイトが、世界中のサイトの4割以上になっています。

常に更新されていない古いWordPressは

狙われています。

SQLインジェクション問題を

解決する5項目

  • WordPressでオープンソースの信頼できるテーマやプラグインを使っているか?
  • WordPress内のプログラムを常に最新版にアップデートしているか?
  • サーバー側のIP制限やWAF設定などで対策をしているか?
  • セキュリティプラグインなどを使いログイン情報の管理をしているか?
  • IDパスワードを推測しにくい、少なくとも20文字以上の英数小大記号文字などで複雑化しているか?

常に上記のセキュリティ対策を行い、保守管理していればひとまずは安心です。

もしあなたがWordPressサイトを運営していて上記のいくつかの対策が取れていないようでしたら、危険度は上がってきます。

他社製のWordPressサイトを運営管理されている事業者の方でも、テーマや作り方によっては弊社にて保守管理することは可能ですので、心配な事業者様は下記よりお問い合わせください。

自社サイトの状況を拝見し、弊社にて保守管理が可能かどうか、費用面も含めてご提案させていただきます。

投稿者プロフィール

山口 敦
山口 敦
2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界17年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら

お問合せフォームはこちら

弊社サービスをご検討いただきありがとうございます。
相見積もりや社内検討用など、概算お見積りのPDFが必要な場合はこちらでご入力・出力できます。

お見積りのご依頼・打ち合わせはZOOM/GoogleMeet/お電話等、オンラインでも対応可能です。全国からお問い合わせを受付けています。
2営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。

    お問い合わせの前に下記、ご確認をお願いいたします。

    任意貴社サイトURL

    必須お問い合わせ項目

    必須制作費のご予算はどれくらいですか?

    企画・設計、デザイン、画像・文章の作成、サイト内検索システムの導入等、
    ヒアリングを元にご予算やご希望に応じたお見積りをご提案させて頂きます。
    弊社制作費の費用感につきましてはこちらの記事をご参照ください。

    必須制作目的はどうお考えですか?(複数選択可)

    どこに力を抜きどこに力を入れるのか、
    ご予算とご要望の中から最適なご提案をさせていただきます。

    必須どのような機能が必要ですか?(複数選択可)

    SSL(https://~)対応、ブログ機能、スマホ対応(レスポンシブ)、
    ログイン等セキュリティ対策、ページタグSEOの最適化は標準搭載。

    必須どのような作り方がご希望でしょうか?(複数選択可)

    WordPressでの構築になりますので、お客様のご要望に比較的柔軟にお応えすることが可能です。
    企画ご提案する前に参考にさせていただく項目です。

    必須お問い合わせ内容を教えてください

    必須お名前

    必須フリガナ

    必須メールアドレス

    必須貴社名

    任意電話番号(ハイフン無し・半角数字)