WordPressにおけるサイバー攻撃への備え

お世話になっております。

ダブルループの福田です。

 

最近、弊社のクライアントにてMicrosoftを謳った音声警告がPCが流れてきて、

とても焦ったという報告がありました。

 

近年になってサイバー攻撃はあの手この手で

PC、ネットをアタックしてきています。

 

攻撃を未然に防ぐためには、その危険性と手口を理解することが大切です。

ということで、今回はWordPressのサイバー攻撃について考えてみました。

 

WordPressにおけるサイバー攻撃への備え

今年2月に「Wordpressで深刻な脆弱性が見つかった」

というニュースがありました。

※こちらに関しては下記にて詳しく書いています。

コラム:WordPressに重大な脆弱性が見つかったと発表

 

WordPressを代表としたCMSでは、

このような脆弱性をターゲットとしたサイバー攻撃を仕掛けられることが

少なくありません。

 

今回はサイバー攻撃の主な内容と対策について(一部ではありますが)

書いていきます。

Wordpressにおけるサイバー攻撃への備えならダブルループ

まず、Wordpressのサイバー攻撃は大きく2つに分類できます。

 

1.Wordpress自体の脆弱性を狙ったもの

2.Wordpressのプラグインの脆弱性を狙ったもの

 

1については上述した通り、

WordPressなどCMSがバージョンアップした際に、

プログラムの検証が不十分のため「穴」が存在してしまい、

それに伴い、攻撃を仕掛けられてしまうという内容です。

 

具体的にはサイト内のコンテンツが改ざんされるということが

この2月には多くのwebサイトで見られました。

 

WordPress自体の脆弱性を突いたサイバー攻撃への対策としては、

WordPressも早急な対応を施すので、

対応を施したバージョンへとアップデートすることが

最大の対処と言えるでしょう。

 

次に2について。

ご存知の通り、Wordpressの魅力の1つは

プラグインツールを利用できることにあります。

 

プラグインツールを利用することで、

簡単にwebサイトが構築できるようになるからです。

 

そしてこのプラグインツールもWordpressのバージョンアップや

世の技術革新に伴い、アップデートされていきます。

 

そのアップデートの過程の中で

プラグインツールのプログラム内に「穴」が出来てしまうのです。

 

たとえば近年だとWP Job ManagerやWP Mobile Detectorで脆弱性が見つかり、

サイバー攻撃を受けた例があります。

 

2のサイバー攻撃も1と同様、

対象プラグインツールのアップデートにより対処が可能です。

Wordpressにおけるサイバー攻撃への備えならダブルループ

WordPressは簡単にwebサイトを構築できる一方、

プラグインが多数あるため、

プラグインに脆弱性が含まれている場合が多いことを

理解しておく必要があります。

 

もしwebサイトの制作・運営をweb制作会社に委託している場合には、

委託先企業が定期的にバージョンアップを実施していることや、

脆弱性に関するレポートを定期提出してくれていることが

1つのリスクマネジメント指標と言えるでしょう。

 

自社でサイト運営している場合は、サイバー攻撃の対象とならないためには、

日ごろから最新バージョンへアップデートしておくこと、

そしてアップデートの際に脆弱性が見つかったバージョンではないかと

慎重を期することが重要です。

 

 

執筆者紹介

福田英明
福田英明
株式会社ダブルループ 代表取締役

明治大学卒業後、大塚商会に入社、営業経験を経た後に楽天株式会社に転職。
楽天ではビジネスマッチングサイト「楽天ビジネス」にて営業・コンサル・マーケティング・事業企画の業務に従事。
2010年に、株式会社ダブルループを設立後、多くの企業のホームページ制作及びWEBコンサルティングを行う。
また、大小問わず様々な企業にて、WEB戦略に関する講演を多数行っている。
累計講演回数150回以上。

【著書】
「まるっと1冊でわかる! 起業を決めたら最初に読む本」翔泳社
第三章 「ホームページ作成で必要なこと」執筆
contact