インターネットの発展に伴い、企業や個人が運営するWordPressサイトへのサイバー攻撃が増加しています。不正ログインや不正アクセスによる情報漏洩は、企業の信頼を損なうだけでなく、事業継続に深刻な影響を与えることもあります。
東京商工リサーチの調査によると、2024年には上場企業とその子会社が公表した個人情報の漏洩・紛失事故が189件に達し、前年比8%増加しました。
特にWordPressは世界中で利用されているCMSであるため、標的にされるケースが多く、適切な対策を取らなければ重大な被害を受けるリスクがあります。
そこで本記事では、WordPressサイトで発生した実際の不正アクセスや不正ログイン事件の事例を紹介し、どのような手口が使われているのかを詳しく解説します。
また、なぜハッキングされてしまうのか、そしてどのようにして被害を未然に防ぐことができるのかについても詳しく説明します。
目次
1. WordPressサイトへの不正アクセスや不正ログイン・ハッキング事例一覧
WordPressサイトは世界中で利用されているため、攻撃者のターゲットになりやすいCMSのひとつです。
実際に発生した不正アクセスや不正ログインの事例を紹介します。
事例1:大手企業の顧客情報流出事件
ある大手企業のWordPressサイトが不正アクセスを受け、数万件の顧客情報が漏洩しました。攻撃者はプラグインの脆弱性を悪用し、管理画面への不正ログインを試みたとされています。
事例2:中小企業サイトの改ざん被害
中小企業が運営するサイトがハッキングされ、サイトのトップページに不正なコンテンツが埋め込まれました。この攻撃は、脆弱なパスワードを使っていたことが原因でした。
事例3:ECサイトの決済情報漏洩
ECサイトのWordPressサイトがマルウェアに感染し、顧客のクレジットカード情報が流出する事件が発生しました。攻撃者はセキュリティの甘いプラグインを利用し、サイト内にスクリプトを埋め込んでいました。
その他、2025年以降でWordPressに関わる不正アクセス・不正ログイン・サイト改ざん被害は以下になります。
| 発表日 | 企業名 | 主な内容 |
| 2025年3月13日 | 東亜大学 | 在学生・卒業生の氏名(漢字,カタカナ)・性別・生年月・メールアドレス・学籍番号・学生ポータルサイトのパスワード・所属学部・学科等・出身高校・就職先・職種・面談情報等、17,276名分 |
| 2025年1月21日 | 社会福祉法人光道園 | 外部からの不正なサイト改ざん |
2. なぜ不正アクセスや不正ログイン・ハッキングされてしまう?
WordPressサイトが攻撃を受ける理由はさまざまですが、主にセキュリティの弱点を突かれることによって発生します。特に個人事業主や小規模企業のサイトは、大企業ほどのセキュリティ対策がされていないことが多いため、攻撃者の標的になりやすい傾向があります。ここでは、WordPressサイトが不正アクセスやハッキングの被害に遭う主な原因を詳しく解説します。
2-1. 弱いユーザーIDやパスワードの使用
攻撃者が最も狙いやすいのが、簡単に推測できるパスワードを使っているサイトです。
例えば、以下のようなパスワードは特に危険です。
- 「123456」「password」「admin」 などの単純なパスワード
- サイト名や社名、誕生日などを使ったパスワード
- 過去に他のサービスで使ったパスワードの使い回し
攻撃者は「ブルートフォースアタック(総当たり攻撃)」と呼ばれる手法を使い、何千、何万通りものパスワードを自動で試して突破を試みます。
また、過去に流出したパスワードのリストを利用し、ログインできるか試す「パスワードリスト攻撃」も増えています。
これまでご相談いただいたサイトを調査した中には、実際に「admin」や「企業名_admin」などの推測されやすいものがありました。
2-2. プラグインやテーマの脆弱性
WordPressはプラグインやテーマを追加することで機能を拡張できますが、これらが古いままだと脆弱性(セキュリティの穴) を攻撃者に狙われる可能性が高まります。
特に、以下のようなケースでは危険度が増します。
- 更新が停止されたプラグインやテーマを使い続ける
- 開発元が不明なプラグインをインストールする
- 脆弱性が報告されているにもかかわらずアップデートを行わない
脆弱性のあるプラグインやテーマは、攻撃者によって改ざんされたり、マルウェアを埋め込まれる危険があります。
公式のWordPressリポジトリや信頼できる開発元から提供されたものを使用し、定期的に更新を行うことが重要です。
プラグインでは開発が止まってしまい、アップデート停止するケースもありますので、これまで定期的にアップデートされているかどうかを確認することも重要です。
2-3. サーバーの設定ミス
WordPress本体やプラグイン、テーマが最新の状態でも、サーバーの設定が不適切だと攻撃を受けやすくなります。
特に、以下のような設定ミスが原因となることが多いです。
- 管理者権限を持つユーザーが多すぎる(ユーザーIDが漏えいしやすい)
- 重要なファイルやフォルダのアクセス権限が適切に設定されていない
- ディレクトリリスティング(フォルダ内のファイル一覧表示)が有効になっている
たとえば、wp-config.php というWordPressの設定ファイルにはデータベースの情報が含まれていますが、適切な権限設定をしていないと、外部から直接閲覧されてしまう危険があります。
2-4. 不正なリダイレクトやマルウェアの埋め込み
攻撃者は、WordPressサイトを乗っ取るだけでなく、サイトの訪問者を 不正なページへ自動的に転送することもあります。
これによって以下のような被害が発生する可能性があります。
- 訪問者がフィッシングサイトへ誘導され、個人情報が盗まれる
- 不審な広告ページへ飛ばされ、詐欺サイトに誘導される
- サイトにマルウェアを埋め込まれ、訪問者のパソコンやスマホが感染する
このような攻撃の多くは、脆弱なプラグインや改ざんされたテーマを介して行われます。
サイトが突然怪しい動作をし始めた場合は、すぐにセキュリティ診断を実施し、不正なコードが埋め込まれていないか確認する必要があります。
3. 小規模サイトでも狙われてしまう?
「うちは小さなサイトだから、攻撃されることはない」と思っていませんか?
実はその考えはとても危険です。
ハッカーは、大企業だけを狙っているわけではありません。むしろ、小規模なサイトのほうがセキュリティ対策が甘く、攻撃しやすいため、狙われるケースが増えています。
特に、個人事業主や中小企業のサイトは最新のセキュリティ対策が施されていないことが多く、攻撃者にとって格好の標的になりやすいのです。
後ほど、どのようにしてこうした攻撃を防ぐかを詳しく解説します。
4. WordPressの情報漏洩リスクとは?
WordPressサイトで情報漏洩が発生すると、企業や事業の存続に関わる深刻な影響を及ぼします。
具体的には、次のようなリスクが考えられます。
4-1. 顧客の信用を失う
個人情報や機密データが流出すると、顧客の信頼が大きく損なわれます。一度失った信用を取り戻すのは難しく、長期的な売上減少にもつながる可能性があります。
4-2. 法的責任を問われる
個人情報保護法などの法律に違反すると、罰則や賠償責任が発生する ことがあります。特に、顧客データや決済情報が漏洩した場合、訴訟リスクも高まります。
4-3. ビジネスの継続が困難になる
情報漏洩の影響でサイトの運営が停止したり、取引先との関係が悪化したりすることがあります。特に中小企業では、こうした損害から立ち直るのが難しく、最悪の場合、事業の継続が困難になることもあります。
このように、情報漏洩は企業にとって致命的なダメージ となる可能性があります。次の章では、具体的な防止策について詳しく解説します。
5. 不正ログインや不正アクセスの手口とその特徴
攻撃者は、さまざまな手法を駆使してWordPressサイトを狙います。特に、セキュリティ対策が不十分なサイトは、簡単に攻撃の標的 になってしまいます。
ここでは、代表的な手口とその特徴をわかりやすく解説します。
5-1. ブルートフォース攻撃(総当たり攻撃)
攻撃者が、あらゆるパスワードの組み合わせを機械的に試し、ログインを突破しようとする手法 です。
例えば、以下のようなパスワードは特に危険です。
- 「123456」「password」「admin」などの簡単なもの
- ユーザー名やサイト名を含むもの
- 他のサイトと使い回しているもの
この攻撃を防ぐためには、強力なパスワードの設定やログイン試行回数の制限が効果的です。
5-2. SQLインジェクション(データベース攻撃)
WordPressは、記事の内容やユーザー情報をデータベースに保存しています。
攻撃者は、悪意のあるコードをデータベースに送り込み、不正に操作することで、サイトの管理権限を奪ったり、情報を盗んだりします。
対策としては、入力データの適切なフィルタリングや、セキュリティ対策済みのプラグインを使用することが重要です。
5-3. クロスサイトスクリプティング(XSS)
XSS攻撃では、悪意のあるスクリプトをサイト内に埋め込み、訪問者の個人情報を盗んだり、勝手に操作させたりすることが目的です。
例えば、
- コメント欄やお問い合わせフォームに悪意のあるコードを埋め込む
- ユーザーのCookie情報を盗み、ログイン状態を乗っ取る
といった手口があります。
XSSを防ぐには、不正なスクリプトを排除するセキュリティ対策が必要 です。
6. ハッキング被害を防ぐための具体的な対策
WordPressサイトを守るためには、適切なセキュリティ対策を講じることが不可欠です。
以下の対策を実施することで、ハッキングのリスクを大幅に減らすことができます。
6-1. 強固なパスワードの使用
簡単なパスワードや使い回しのパスワードは、ブルートフォース攻撃などによって簡単に突破されてしまいます。
そこで、大文字、小文字、数字、記号を組み合わせた強力なパスワードを設定しましょう。
また、他サービスと同じパスワードは控えるようにしてください。
6-2. 二要素認証(2FA)の導入
二要素認証は、パスワードに加えて、スマートフォンの認証アプリやSMSで送信されるコードを入力することで、セキュリティを強化します。
これにより、万が一パスワードが漏洩しても、不正ログインを防ぐことができます。
特に管理者アカウントには必須の対策です。
6-3. プラグインやテーマを常に最新の状態に保つ
WordPressのプラグインやテーマには、脆弱性が見つかることがあります。攻撃者は、古いバージョンのプラグインやテーマのセキュリティホールを狙って攻撃します。
定期的に更新し、最新のセキュリティパッチを適用することで、こうしたリスクを減らすことができます。
6-4. 定期的なバックアップの実施
万が一サイトがハッキングされても、定期的なバックアップがあれば、迅速に復旧することが可能です。
データの損失を防ぐために、WordPressのファイルやデータベースを定期的にバックアップし、別の場所(例えば、クラウドストレージや外部サーバー)に保管しておくことが重要です。
7. WordPressのセキュリティを強化するためのツール・プラグイン
WordPressサイトのセキュリティを強化するためには、専用のセキュリティプラグインを活用することが非常に効果的です。
これらのプラグインは、サイトを守るためのさまざまな機能を提供し、攻撃者からのリスクを軽減します。ここでは、おすすめのセキュリティプラグインを紹介します。
7-1. Wordfence Security
Wordfenceは、WordPressのセキュリティ対策で最も広く使われているプラグインの一つです。主な機能としては、以下のようなものがあります。
- ファイアウォール機能:不正アクセスをブロックし、サイトへの攻撃を防ぎます。
- マルウェアスキャン:サイト内に潜む悪質なコードやマルウェアを検出し、削除します。
- ログイン試行制限:ブルートフォース攻撃を防ぐために、ログイン試行回数を制限する機能があります。
これにより、サイバー攻撃や不正アクセス に強いサイトを作り上げることができます。
7-2. SiteGuard
SiteGuardは、日本語対応のセキュリティプラグインで、特に日本国内で多く利用されています。以下の特徴が挙げられます。
- ログインページのカスタマイズ:ログインURLを変更して、攻撃者に見つけにくくします。
- ユーザーIDの漏えい防止:ユーザーIDが外部から閲覧できないようにします。
- 不正アクセスの監視:ログインの試行回数や異常なアクセスを監視し、アラートを通知します。
これにより、ログインページへの攻撃 を未然に防ぐことができ、サイトの安全性を大幅に向上させます。
8. まとめ
WordPressサイトのセキュリティ対策は、サイトの信頼性を保ち、ビジネスの継続的な運営を守るために非常に重要です。定期的な監視や最新のセキュリティ対策を導入することで、サイバー攻撃のリスクを最小限に抑え、安全なサイト運営を実現することができます。
ディープラスでは、WordPressサイトの保守やセキュリティ対策に関するサポートを行っています。もし不安や疑問があれば、ぜひお気軽にお問い合わせください。
あなたのサイトをしっかり守るお手伝いをさせていただきます。
