近年、WordPressサイトの脆弱性を狙った不正ログインが急増しています。
「まさか自分のサイトが狙われるわけがない」と油断していませんか?
実は、管理されていないサイトは、簡単に開けられてしまう危険性があるのです。
今回の記事では、WordPressサイトにおける不正ログインの恐ろしさを徹底解説します。
- 今まで不正ログインされなかったから大丈夫
- サーバ会社で対応してくれるはず
- 不正ログインって何?関係ないでしょ?
このようにお考えの個人事業者や企業担当者は、ご覧いただければ幸いです。
あなたの大切な情報と顧客を守るために、ぜひ最後までお読みください。
目次
1. 不正ログインとは?
不正ログインとは、あなたの許可なくWordPressサイトの管理画面に侵入されることです。例えると、あなたの家(ホームページ)に泥棒が侵入するようなもの。
侵入者は、あなたの大切な情報(パスワードや顧客情報など)を盗み出したり、サイトを改ざんしたり、悪意のある広告を掲載したりする可能性があります。
こうした不正ログインは、いつ起こるかわかりません。夜中に起こることもあります。
そうした侵入を防ぐため、セキュリティ対策をおこなう必要があります。
2. 不正ログインの被害
不正ログインの被害は深刻です。以下は、実際に起こった被害の例です。
A社の場合
- 被害内容: 顧客情報10万件流出
- 影響:顧客からの信頼失墜・風評被害による売り上げ減少・個人情報保護法違反による行政処分
B社の場合
- 被害内容: サイト改ざん、悪意のある広告掲載
- 影響:SEO対策の悪化による検索順位低下・顧客離れ・ブランドイメージの毀損
C社の場合
- 被害内容: ランサムウェアによる金銭要求
- 影響:金銭的損失・業務停止・信用失墜
不正ログインされてしまうと、顧客からの信頼失墜・金銭的損失・売り上げ減少・サイト改ざんなどの影響が考えられ、被害内容によっては、サイトの復旧するまで時間がかかることもあります。
3. 実際に不正ログインは起こります
これは、WordPressサイトの引継ぎ管理を実際にご依頼いただいた時のことです。
保守管理を開始する前にサイト内の各所調査をおこなうのですが、そこで、不正ログインを試みる形跡を発見しました。
以下は不正ログインの履歴になります。
WordPressのログインに対して、複数回の不正ログインを試みていることがわかります。
このサイトでは、複数回のログイン操作をおこなうと自動でロックして一定期間ログインできない機能を設置しており、また、誰でも推測されやすい「admin」というユーザー登録がされていなかったことで、不正ログインされることはありませんでした。
しかし、このようにどんなサイトでも不正ログイン攻撃は連続でおこなわれる動きがあります。
こうした不正ログイン対策としては、
- 推測されやすいユーザー名やパスワードを設定していないこと
- 複数回のログインでロックする
などを施す必要があります。
例えば、ユーザー名でいうと「admin」「user」「demo」。
パスワードでは、「password」「12345」「qwerty(→キーボードの配列)」。
その他、ウェブサイトに掲載されている電話番号や番地、URLなどをユーザー名やパスワードにすると推測されやすいため、やめるようにしましょう。
それ以外に「いつ、どこから、どのようにしてログインをしようとしているのか?」ということが履歴確認できるようにしておくことで、数多くある強化対策の中から効果的な方法をおこなうことができます。
また、こうした不正ログインは、「小規模なサイトだから問題無し」「アクセス少ないから不正ログインされない」ということではなく、インターネット上に公開しているどんなサイトでも対象となってくるので、安心することはできません。
どんなに小規模なサイトやホームページでもセキュリティ強化対策はおこなっていく必要があります。
4. 不正ログインする目的
不正ログインの目的は様々ですが、主に以下の3つが挙げられます。
1. 金銭目的
- ランサムウェアによる金銭要求:サイトをロックし、復元と引き換えに金銭を要求する
- クレジットカード情報の窃盗:オンラインショップなどから顧客のクレジットカード情報を盗み、不正利用する
- SEO対策の悪化による売り上げ減少:サイトに悪意のあるコードを埋め込み、検索順位を下げる
2. 情報窃取
- パスワード:他サイトへの不正ログインに使用
- 顧客情報:個人情報保護法違反・顧客へのなりすまし
- 企業情報:営業秘密の漏洩・競合企業への情報提供
3. 悪意
- サイトの改ざん:悪意のあるコードの埋め込み・スパム広告の掲載・サイトの乗っ取り
- サイト運営者の名誉毀損:虚偽の情報掲載・悪意のあるコメント投稿
5. あなたのサイトを守る!不正ログイン対策9選
1. 強固なパスワードを設定
- 英数字、記号を組み合わせる
- 12文字以上にする
- サイトごとに異なるパスワードを使用する
2. 二段階認証を有効にする
- パスワードに加えて、ワンタイムパスワードなどの認証を追加する
- Google Authenticatorなどの二段階認証を設定する
3. ソフトウェアを最新の状態に保つ
- WordPress本体、テーマ、プラグインを常に最新版に更新する
- 脆弱性が発見された場合は、速やかに修正パッチを適用する
4. 不要なプラグインを削除する
- 使用していないプラグインは脆弱性のリスクとなる
- 使用していないプラグインは削除し、不要な機能はテーマで代替する
5. アクセス権限を適切に設定
- 管理ユーザーの数を最小限に抑える
- 各ユーザーに最低限必要な権限のみを与える
6. セキュリティ対策ソフトを導入する
- マルウェアや不正アクセスを検知・防御する
- ファイアウォール、アンチウイルスソフト、WAFなど
7. 定期的なバックアップを取る
- 万が一不正ログインされた場合でも、復元できるように準備する
- データベース、ファイル、設定などを定期的にバックアップする
8. ログイン履歴を監視する
- 不審なログインがないか定期的に確認する
- ログイン日時、IPアドレスなどを記録する
9. セキュリティ意識を高める
- フィッシング詐欺に注意する
- 不審なメールやリンクはクリックしない
- 最新のセキュリティ情報に常に注意を払う
6. 万が一不正ログインされたら?取るべき対応
- ログイン履歴を確認し、不審なログインがあれば記録する
- セキュリティソフトでサイトをスキャンする
- 被害状況を調査し、必要に応じて専門家に相談する
まずは、ログイン履歴を確認して、不審なログインがないかどうかをチェックします。もし、不正ログインされていた場合で管理画面にログインできる場合には、すぐパスワード変更をおこないます。
管理画面にログインできない場合にはサーバやDB接続をおこなって、改ざんされているかどうかチェックしたり、パスワードの再発行をおこなってログイン中の第三者を追い出すようにします。
その他、不正ログインされた方法によって様々な対処がありますので、専門家に相談されることをオススメします。
7. まとめ:大切な情報と顧客を守るために
不正ログインは、あなたのサイト、そしてあなたの顧客を脅かす重大なリスクです。しかし、適切な対策を講じることで、被害を防ぐことができます。
この記事で紹介した対策を参考に、あなたの大切な情報と顧客を守ってください。
ディープラスは、ホームページ制作・保守管理の専門業者です。
WordPressサイトのセキュリティ対策についても、豊富な経験と知識に基づいたアドバイスを提供いたします。
以下のようなお悩みをお持ちの方はお気軽にご相談ください。
- 不正ログイン対策について詳しく知りたい
- 自社のサイトに適切な対策を講じたい
- セキュリティ対策を専門家に任せたい
- 他社で制作したサイトの引継ぎ管理を相談したい
ディープラスは、あなたのサイトの安全を守るために、全力でサポートいたします。
まずはお気軽にお問い合わせください。
この記事を書いた人
遠藤 晃太(えんどう こうた)
山梨県を拠点としているディープラスの代表、遠藤です。
Webに興味を持ち、制作技術や集客方法を習得。これまで大手サイト制作などの経験あります。
サイトから集客獲得して副業から本業に変更した事業者様やスタッフ増員された事業者様がいます。
・2012年8月、ディープラス立ち上げ
・「渋谷 美容室」「(地域名)動物病院 」など、Google検索で10位以内にランクイン
・趣味はスノーボードや車中泊
サイト訪問者にとって最善のご提案をします。
他社に勝てるホームページ制作はもちろん、Web広告、SNS運用についてもご相談ください。
