2018年~2019年頃、ある公的機関のサイトで、WordPressで作成されたサイトがあり、外部攻撃者にログインされたサイトの、第三者としてアドバイスを求められたことがありました。

そのサイト内を拝見し、確認したことがあるのですが、その際はすでにサーバー内ディレクトリにおいて、削除しても再生成されるプログラムが設置されていました。

プログラムが設置されたサーバー内のディレクトリ自体を削除しても、時間が経つと知らないうちにディレクトリが再生成される繰り返しになり、サーバーの解約とサーバー内で管理しているすべてのサイトの一からの作り直しという事態に遭いました。

この事例の原因としましてはいくつか考えられ、主な原因を思い返すと、

  1. WordPressの管理者の権限を持つアカウントを10個程度作られていた。
  2. それぞれのIDやパスワードが非常に簡単なものになっていた。
  3. 全体を統括しているが管理者がいなかった
  4. かつ、パソコンが得意ではない中高年の方が管理者アカウントに多くいた。

上記のような状況で、その中のある一つのログイン情報が漏洩し、そのID・パスワードでログインされていたという経緯がありました。

引き継ぎ引き継ぎで、担当となった方が次々に新しく管理者を生成し、配置転換の後も、使わなくなった自らの管理者アカウントの整理をすることもなく残していたようです。

その中の特定の方の管理者の名前で何度も繰り返し英文字の投稿がされ、それで気づいたようです。

明らかにその方のログインIDとパスワードの流出が原因だと考えられました。

IPAのアラートメールでもWordPressのリスクに対する注意喚起メールが頻繁にきますが、悪意のあるプログラムに侵入された場合は時すでに遅しで、この場合は、サーバーの移転を含めた対策が必要になるのではないかと考えています。

IPA公式サイト

対策としましては、原始的ですが、

  1. 管理者権限は2名程度までにしておく
  2. IDとパスワードともに推測しやすいものではなく、ドメインと関連づいていない長めの文字列で設定しておく
  3. ログインURLは特定できないように変更しておく

上記がまず第一に行っておくべき対策となります。

WordPressに限らず、ネット上にあるすべてのサイトがこのような攻撃に晒されておりますが、IDやパスワードが推測しやすい短いものになっていたりするサイトは被害に遭いやすいです。

基本的には、管理画面のログインURL、ID(ユーザー名)、パスワードの、複雑な文字列への変更をきちんとしておくことで、多くの場合このようなプログラムによる無差別攻撃からの不正な侵入は防げます。

その他できる対策としましては、ログイン試行回数の制限やWordPress自体の管理画面のアクセスにIPアドレス制限をかけたり、二段階認証を行ったりなどがあります。

更に突っ込んだ対策を行う場合は、費用の兼ね合いもありますので、どこまでを対策とするかは検討が必要だと思います。

弊社の保守管理では上記のような、公的機関のWordPressサイトを安全にお守りいたします。

専門知識があまりない担当者の方がウェブサイトの運営管理を担当されていたり、高額な保守管理費をかけすぎていて予算的に見合わなくなった場合は弊社の保守管理サポートで対応可能ですので、下記ページより内容をご確認の上お問い合わせください。

WordPress保守管理(委託管理)

\ いつも問題なくHPが表示されている / 当たり前の継続にはしっかりとした管理が必要です サイト管理に必要なほとんどの作業を弊社側で行います。面倒なドメイン・サーバー管理も全てお任せください。ご相談メールに対する回答は […]

投稿者プロフィール

山口 敦
山口 敦
2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界18年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら

お問合せフォームはこちら

弊社サービスをご検討いただきありがとうございます。
相見積もりや社内検討用など、概算お見積りのPDFが必要な場合はこちらでご入力・出力できます。

概算お見積書 PDF出力

お見積りのご依頼・打ち合わせはメール/お電話/GoogleMeet等オンラインでもご対応可能です。全国からお問い合わせを受付けています。
翌営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。

    お問い合わせの前に下記、ご確認をお願いいたします。

    任意貴社サイトURL

    必須弊社を何で知りましたか

    もし可能でしたら検索キーワードを教えてください。

    差し支えなければご紹介者様のお名前を教えてください。

    もし可能でしたら具体的な媒体等を教えてください。

    必須お問い合わせ項目

    必須制作費のご予算はどれくらいですか?

    企画・設計、デザイン、画像・文章の作成、サイト内検索システムの導入等、
    ヒアリングを元にご予算やご希望に応じたお見積りをご提案させて頂きます。
    弊社制作費の費用感につきましてはこちらの記事をご参照ください。

    必須制作目的はどうお考えですか?(複数選択可)

    どこに力を抜きどこに力を入れるのか、
    ご予算とご要望の中から最適なご提案をさせていただきます。

    必須どのような機能が必要ですか?(複数選択可)

    SSL(https://~)対応、ブログ機能、スマホ対応(レスポンシブ)、
    ログイン等セキュリティ対策、ページタグSEOの最適化は標準搭載。

    必須どのような作り方がご希望でしょうか?(複数選択可)

    WordPressでの構築になりますので、お客様のご要望に比較的柔軟にお応えすることが可能です。
    企画ご提案する前に参考にさせていただく項目です。

    必須お問い合わせ内容を教えてください

    必須お名前

    必須フリガナ

    必須メールアドレス

    必須貴社名

    任意電話番号(ハイフン無し・半角数字)

    こちらの関連記事も読まれています

    Google検索からのアクセス数は減少していませんか? 「SQLインジェクション」というWordPressへの攻撃と対策 WordPressへのXSS(クロスサイトスクリプティング)攻撃と対策 WordPressデータベースに個人情報をストックさせる際の注意点
    カテゴリー
    サイト運営ノウハウ
    前の記事
    コンテンツマーケティング事例紹介【ク◯◯ルの事例】
    2025年1月22日
    次の記事
    公式ホームページをリニューアルいたしましたNew!!
    2025年1月31日