サーバーセキュリティ
2023.08.21
WordPressの脆弱性をついたマルウェア攻撃と対策
WebサイトとWordPressのセキュリティ対策
Webサイトのセキュリティ対策はビジネス利用に欠かせない課題の一つです。サイト制作において特に利用率の高いWordPress(CMS)を標的としたマルウェア攻撃は後を絶ちません。Webサイトを安全に運用するためにはWordPressの脆弱性と攻撃について把握した上で対策を講じる必要があります。
WordPressを安全に運用する対策
WordPressの脆弱性は、WordPress本体だけでなく、使用しているテーマやプラグインも含めて外部からの攻撃の影響を受けてしまうことがあります。そのため、様々な要因を考慮し、初期設定の段階から脆弱性の原因や攻撃手段を助長させないルールと対策が欠かせません。
[ WordPressを安全に保つ主な対策 ]
- 強力なパスワードを使用し、適切な設定を行う
WordPressはパスワードの強化も重要ですが、設定をデフォルトのまま使用したり、セキュリティ設定を適切に行わなかったりすると、攻撃に対して脆弱になる恐れがあります。 - WordPress本体を最新バージョンに保つ
WordPressは定期的にセキュリティパッチがリリースされています。これらのパッチを適用することで、WordPressの脆弱性を修正することができます。更新を行わず古いバージョンを使用し続けると、そのバージョンに既知の脆弱性が存在する場合、攻撃を受けやすくなります。 - プラグインやテーマは信頼できるものを更新して利用する
WordPressには多くのプラグインやテーマが公開されていますが、安全性に問題のあるものやセキュリティの更新が滞っているものが存在します。 - 定期的にバックアップをとる
万が一、WordPressサイトが攻撃されてしまった場合でも、定期的にバックアップを行っていれば復旧することができます。
WordPressの主なマルウェア攻撃
Webサイトのマルウェア攻撃とは、不正なソフトウェア(マルウェア)が侵入し、その機能を悪用してデータを盗んだり、Webサイトを無効にしたりするような攻撃のことを指します。WordPressのマルウェア攻撃は不正アクセスを行いWebサイトを悪用する様々な攻撃があります。
[ WordPressの主なマルウェア攻撃の種類 ]
- 不正なリダイレクト
訪問者がWebサイトにアクセスしたときに、他の悪質なWebサイトにリダイレクトするコードを挿入することがあります。 - ファイルとデータベースの改ざん
Webサイトのファイルやデータベースを改ざんすることで、不正なコードを実行したり、重要な個人情報や機密情報を盗んだりします。 - DDoS攻撃
WordPressサイトをボットネットの一部に変え、他のWebサイトへの分散型サービス拒否(DDoS)攻撃に利用することがあります。 - バックドアの設置
攻撃者はマルウェアを利用してWebサイトにバックドアを設置し、いつでもアクセスできるようにします。そのため一度クリーニングしても再度攻撃を受ける恐れがあります。
WordPressのマルウェア対策について
WordPressを標的とする攻撃は僅かな隙を突いてくるため、予防策を広く見据えることが必要です。対策の鍵となるのは攻撃を未然に防ぐこと、そして万が一マルウェア攻撃を受けたとしても、即座に検知して対策を行い被害を最小限に留めることです。そこでWebサイトが攻撃を受けても対策できるセキュリティサービスを利用すれば、様々なリスクを軽減しWordPressの安全運用を実現します。
マルウェアの攻撃を自動で検知・駆除する総合セキュリティサービス
Webサイトのセキュリティ対策を総合的に行うなら完全自動のセキュリティツール「Imunify360」がおすすめです。「Imunify360」は自動的にWebサイトの保護を行える総合型セキュリティサービスです。マルウェア攻撃にはマルウェアスキャンの機能で悪意のあるコードを検知して駆除したり、危険なファイルのアップロードをブロックするため簡単にマルウェア対策が行えます。
また「Imunify360」は日々変化する様々な攻撃に対し最新の技術で対策を行うことができるので、WAFの機能ではWordPressの脆弱性をついた攻撃も未然に防ぎ、ブルートフォースアタックやDOS攻撃などのサイバー攻撃はもちろん未知のウイルスにも対策します。
セキュリティツールのご利用について
ご契約サーバーにImunify360を追加するだけで利用可能
シーズホスティングサービスでご利用いただく場合は、ご契約されるサーバーにセキュリティオプションサービス「Imunify360」を追加するだけでご利用になれます。
[ Imunify360 オプション利用料金 ]
| 利用料金 | 初期費用 | 月額料金 |
|---|---|---|
| 1台 (1台当たり30ドメインまで) |
¥10,000 | ¥10,000 |
- ※ご契約サーバー1台ごとの契約が必要です。表示価格は全て税抜価格です。
サーバーセキュリティのことでお困りならシーズにご相談ください
「セキュリティが心配」「サーバーの負荷が高くて困っている」「サーバーを見直したい」など、サーバーについてのご相談、今回紹介した「Imunify360」のご利用に関するご質問もお気軽にお問い合わせください。お客様の要望や状況をお伺いした上で、最適なサーバー環境をご提案します。
WordPressとセキュリティに関する FAQ
セキュリティツール「Imunify360」の機能はどんなものがありますか?
「Imunify360」は多種多様な攻撃に対し最新の対策が出来るWebセキュリティ機能を搭載しています。
- WAF (Webアプリケーションファイアウォール)
WordPressの脆弱性をついた攻撃に最適化されたルールを搭載。SQLインジェクションやクロスサイトスクリプティングなどWebサイトの脆弱性を狙った攻撃を防御し、ブルートフォースアタックやDos攻撃をブロックします。 - マルウェアスキャン
Webサイトに混入した悪意のあるファイルを検出して削除します。またアップロード機能の悪用など悪意のあるファイルのアップロードをブロックします。 - PHP延長サポート
独自のセキュリティパッチを適用することで、サポートが終了したPHPも安全に利用できます。PHP対応バージョン PHP5.1 PHP5.2 PHP5.3 PHP5.4 PHP5.5 PHP5.6
PHP7.0 PHP7.1 PHP7.2 PHP7.3 PHP7.4 PHP8.0 PHP8.1
WordPressの不正アクセスに対し、パスワードの強化以外に防ぐ方法はありますか?
パスワードの強化や管理の徹底以外にもWordPressへの不正アクセスを効果的に防ぐ方法があります。通常の安全対策と合わせてWordPressにIP制限やBasic認証を行うことで、不正を行う隙を塞ぐことが出来るため効果的な予防になります。但し侵入や改ざんを許してしまった後では遅いので、初期段階から設定することが重要です。
- WordPressへのIP制限
WordPressやWebサイトへのアクセスをIPで制限することで、外からの侵入や不正アクセスを予防することができます。 - Basic認証や2段階認証
WordPressの管理画面にBasic認証や2段階認証を設定することで、ログイン時のセキュリティを強化し不正なアクセスを軽減できます。
お探しならシーズにお任せください
お電話でのご相談は
受付時間 平日10:00〜19:00
メールでのご相談は
お問い合わせはコチラ
