手軽にWebサイトが開設できてコンテンツの書き換えも簡単と、企業や個人で導入が進むWordPress。世界で一番用いられているCMS(Contents Management System)と言われています。一方で、世界的にこのWordPressの脆弱性を狙った攻撃が増えています。
ハッキングまでの流れは以下です。ハッカーはWebサイトがWordPressで作られていると知ると、既知のバグや初期設定のままの箇所を突いてハッキングを試みます。最新バージョン、特定の機能を使用していない、初期設定から変更済みなどなら大丈夫ですが、古いバージョンのままは極めて危険です。
ハッカーはサイトを改ざんし、ウィルス配布サイトや偽のサイト(前号のフィッシングサイトなど)に書き換え、被害者を加害者に仕立てます。WordPress経由でサーバーに侵入できると、次は大量の迷惑メールを送信したり、他のサイトをハッキングするための踏み台(痕跡を消すための経由地)として使います。ここまで来ると警察沙汰や自社ドメインがウィルス対策ソフトに遮断されたりと、取り返しがつかない事態にもなります。
サーバー会社は「データの置き場」を提供し、データの中身は「通信の秘密」から「何も関知しない」立場です。そのため弊社でも何も手出しできませんが、事態が起きた後で緊急的に二次被害の防止処置をする際に、「なぜ最初にセキュリティ対策をしなかったのか」と感じることが多々あります。
セキュリティ対策はお金を生まないため投資されにくい分野ですが、サイト運営では自身が加害者にならないよう、最低限の対策を取るようお勧めいたします。
