WordPressをマルウェア感染から守る４つのポイント

こんにちは！ さくらパソコンサービスです！ さくらパソコンサービスでは2014年にマルウェアに感染したWordPressサイトの駆除・復旧・調査をオールインワンパッケージにしたサービス『マルウェア駆除サービス』をリリースし、以来多くのお客様にご利用を頂いております。 マルウェア駆除サービスでは感染ルートの調査、サイトの脆弱性に関するアドバイスを無償でおこなっていますが、多くのお客様に共通する注意点やよくある質問をこの記事にまとめました。 WordPressサイトの制作や運用に関わっている方の参考になればと思います。 尚、本記事はWordPressサイトの制作・運用に関わる人を前提に執筆しております。専門用語を使用していますので予めご了承ください。

犯罪者はなぜWordPressにマルウェアを感染させるのか？

世界のWEBサイトの約30%がWordPressを使用して制作されています。CMSに限れば約60%と非常に高いシェア率を誇ります。 その為、WordPress向けのマルウェアを１つ開発するだけで世界中の約30%のWEBサイトをターゲットにすることができます。 また、WordPressにはテーマやプラグインという拡張機能が存在します。 それらは誰でも自由に開発しWordPress公式サイトなどで配布することができますが、プログラムコードの安全性が担保されていない為、WordPressに脆弱性を生み出す原因にもなっています。 犯罪者はより効率的・効果的にマルウェアを拡散する為、シェアが高く、脆弱性の多いWordPressを優先的に狙います。

犯罪者はマルウェアを感染させることでどのような利益があるのか？

ウィルスが認知され始めたころは愉快犯の犯行がほとんどでした。 犯罪者は機器やデータに不具合が生じ混乱する人を見て楽しむだけでした。 現在、ウィルスは犯罪者の金銭的要求を満たす為に使用されています。中には国家規模で新たなウィルスを研究している国もあります。 ここ数年WordPressではアクセスした人を強制的に違うサイトに転送するリダイレクト型マルウェアへの感染が最も多く見られます。 リダイレクトすることによって転送先サイトのアクセス数の増加を図っています。 転送先サイトでは主に下記のようなことが起こっています。 １、広告を設置して広告主からのアフィリエイト報酬を得る ２、ウィルスを強制ダウンロードさせWEBサイトを閲覧する機器に感染させる ３、転送先サイトのアクセスを増加させることで運営者よりSEO対策費として報酬を得る 実際弊社で確認した事例として１についてはフリマアプリやゲームアプリなど誰もが知るブランドの広告が表示されていたことがあります。 ３については有名な大手IT系企業にSEO対策を依頼した方のサイトが不正にアクセス数を水増しされていたことがあります。 いずれの場合も弊社による聞き取り調査に対し外注先が勝手にやったことで責任は無いとの回答でした。

WordPressをマルウェア感染から守る４つのポイントとは？

WordPressをマルウェア感染から守る4つのポイントはさくらパソコンサービスのマルウェア駆除サービスにご依頼頂いたWordPressサイトで実際の駆除・調査作業の結果を元に作成しています。 その為、100%の効果を保証できるものではありませんが、多くのマルウェアからの感染を防ぐことができると考えます。 また、本記事で挙げる4つのポイントを同時に実施することを前提にしています。 どれか1つでも欠けてしまうと何もしていないのと同じですのでご注意ください。

ポイント１：制作時の『無料』に注意

WordPressサイトに限らず通常のWEBサイトにも言えることですが、サイト制作の際に『無料』を利用している方は多いと思います。 テキストエディタ、FTPクライアントソフト、画像やアイコンなどの素材配布サイト、WordPressのプラグイン、CGIなどの中には多くの『無料』が存在しますが、それらを利用する前に「なぜ無料なのか？」を考えるようにしましょう。 利益を求めず、他人の為に時間を割いて『無料』を提供してくれる人は世の中にそう多くはいません。 広告収入の代わりに『無料』で提供する人、知名度を上げる為に『無料』で提供する企業など正当な理由で『無料』を実現している場合もあります。 しかし、WordPressのマルウェア感染を促す為に脆弱性を持つプラグインや、WordPressやサーバーのアカウント情報を抜き取る為にソフトを開発し『無料』で配布する可能性があることを覚えておきましょう。

ポイント２：ローカルPCのセキュリティ環境の強化

WEB制作をおこなうパソコンへのセキュリティ対策ソフトのインストールはもちろんのこと、使用するツールなどは信頼性が担保されているものを使用しましょう。 また、無料素材などの配布を謳ったサイトで知らぬ間にウィルスに感染することもあります。 リリースされたばかりのウィルスはセキュリティ対策ソフトでは検知できないことが多い為、セキュリティ対策ソフトがあるからと過信しないようにしましょう。 WEB制作を専業にしている方や企業がウィルスの被害に遭うと複数サイトが同時にマルウェア感染することがあります。

ポイント３：パスワードの強化

現在の標準的なパソコンを使用した場合、英数字のみ8桁のパスワードは総当たりで1分以下で解読できます。10桁でも数時間で解読できます。 WordPressがインストールされるサーバーやデータベース（MySQL）、WordPress管理画面のアカウントに使用するパスワードは最低でも12桁以上のものを個別に用意して使用しましょう。 さくらパソコンサービスでは大小英字＋数字＋記号をランダムに混ぜた16桁以上のパスワードを基準とし、同じパスワードの使いまわしはありません。 この場合、総当たりでの解読は数百年もの時間が必要となります。 16桁ものパスワードを管理しきれないという方はパスワード管理ソフトを導入しましょう。 管理ソフトからのパスワード流出を心配するより、簡単なパスワードを解読されるリスクを心配しましょう。

ポイント４：プラグインの使用を極力控える

ポイント１の内容と重複しますが、WordPressのプラグインは便利な反面、安全性は担保されていません。 マルウェアに感染したWordPressサイトの多くがプラグインの脆弱性を突かれています。 ちょっとしたことでもプラグインで解決してしまっているWordPressサイトが多く見られますが、『プラグインの導入＝マルウェア感染リスクの増加』であることを認識しましょう。

サイトをマルウェアから守る4つのポイント

1.アカウントの管理を厳重にする

サーバー、FTP、MySQL、WordPressアカウントを使用するパソコンがウィルスに感染すると、アカウント情報が漏洩する場合があります。サイトを編集するパソコンのセキュリティは十分注意をしましょう。

2.パスワードを強固にする

パスワードはランダムな英数字と記号を組み合わせ、可能な限り文字数を多くしてください。短いものや単語が含まれるパスワードは簡単に解読されてしまいます。

3.プラグインの使用を控える

WordPressのプラグインはどこの誰が作ったか不明なものが多く、インストールすることによってサイトに脆弱性が発生する場合があります。

4.WordPress・プラグインの更新を怠らない

WordPress、プラグインには脆弱性が含まれていることがあり、更新によって改善されることがあります。その為、通知がきた場合には早急に更新をおこないましょう。