WordPress の一般的な問題と脆弱性を修正する 8 つの方法

WordPress は、誕生から 19 年が経った今でも、World Wide Web 上で最も人気があり、広く使用されているコンテンツ管理システム (CMS) の 1 つです。数字によると、インターネット上の Web サイトの 60% 以上が WordPress で構築されています。

この人気は、大規模な開発者コミュニティ、幅広いツール、多数のチュートリアルやガイドなど、多くの利点をもたらします。しかし、いくつかの欠点もあります。その 1 つは、ハッカー攻撃に対する脆弱性の増加です。

ハッカーはWordPressを攻撃するのが大好きです。実際、ハッキングされたすべての CMS ベースの Web サイトの 83% は WordPress 上に構築されていました。彼らは抜け穴を見つけて悪用するのが大好きですが、残念ながら WordPress にも抜け穴がいくつかあります。

この記事では、WordPress の一般的な 8 つの脆弱性を取り上げ、それぞれの脆弱性を軽減する方法を説明します。以下のリンクを使用して、各脆弱性セクションに移動してください。

劣悪なホスティング環境
ランダムなテーマとプラグイン
古いプラグインとテーマ
＃＃＃＃＃＃弱いパスワード＃＃＃＃＃＃
マルウェアの注入
フィッシング

サービス拒否攻撃

クロスサイト スクリプティング (XSS)

1.劣悪なホスティング環境

ホストは、Web サイトを動かすファイルを保存するインターネット上のサーバー コンピューターです。 WordPress Web サイトにインターネット経由でアクセスできるようにするには、Web ホストでホストする必要があります。

WordPress サイトがハッキングされる主な理由の 1 つは、ホスティング環境が劣悪であることです。 Kinstaによると、この数字は約41%です。その結果、WordPress Web サイトのハッキングのほぼ半数は、劣悪なホスティング環境が原因で発生しています。

上記の統計から、信頼できる安全なホスティングプロバイダーを使用すると、Web サイトがハッキングされる可能性が自動的に大幅に減少すると結論付けることができます。

WordPress Web サイトのトップホスティングプロバイダーには、SiteGround、WP Engine、Hostinger、Bluehost などがあります。 Web サイトのホスティングプロバイダーを選択する前に、サービス提供の品質と顧客満足度を理解するために必ず徹底的に調査してください。

2.ランダムなテーマとプラグイン

WordPress テーマは Web サイトの外観と雰囲気を決定しますが、プラグインは Web サイトに機能を追加するために使用されます。どちらも、PHP スクリプトを含むファイルのコレクションです。

テーマとプラグインはコードで構成されているため、バグが含まれる可能性があります。これは、影響を受ける WordPress サイトに違法にアクセスするためにハッカーが使用する非常に一般的な方法です。

実際、Kinsta によると、脆弱性の 52% はプラグインに関連しており、11% はテーマによって引き起こされています。

ハッカーは悪意のあるコードをテーマやプラグインに挿入し、インターネット上のマーケットプレイスに公開する可能性があります。何の疑いも持たないユーザーによって WordPress サイトにインストールされると、サイトは自動的に侵害され、多くの場合所有者の知らないうちに危険にさらされます。

これらの問題を回避する最善の方法は、テーマとプラグインを信頼できるソースからのみインストールすることです。

3.古いプラグインとテーマ

ランダムなプラグインとテーマを避けることに加えて、WordPress サイトにインストールされているプラ​​グインとテーマを最新の状態に保つ必要もあります。

これは、ハッカーが脆弱性があることが知られている特定のテーマやプラグイン (または特定のバージョン) を検索することが多いためです。次に、そのようなテーマやプラグインを使用する Web サイトを探し、ハッキングを試みます。成功すると、データベース内のデータを検索したり、Web サイトに悪意のあるコンテンツを挿入したりするなど、Web サイト上で有害なアクションを実行する可能性があります。

管理パネルからインストールされているテーマにアクセスするには、サイドバーの 外観 > テーマ に移動します。プラグインにアクセスするには、プラグイン > インストールされたプラグイン に移動します。

通常、Web サイトで使用されているテーマやプラグインを更新する時期になると、WordPress ダッシュボードにアラート通知が届きます。正当な理由がない限り、これらのアラートを決して無視しないでください。

4.弱いパスワード

脆弱で推測しやすいログイン認証情報は、ハッカーが WordPress バックエンドにアクセスする最も簡単な方法の 1 つです。 WordPress サイトの約 8% が​​、脆弱なパスワードの組み合わせまたは盗まれたパスワードによりハッキングされています。

ハッカーは多くの場合、ブルート フォース スクリプトを使用して、できるだけ多くの WordPress サイトで一般的なユーザー名とパスワードの組み合わせを繰り返しテストします。彼らは一致するものが見つかるまでこれを繰り返し、その後ターゲットサイトにログインして資格情報を他のハッカーに転売します。

したがって、ログイン ユーザー名として

user、admin、administrator、user1 などの用語を使用することは常に避けてください。代わりに、一般的ではなく、より個人的なユーザー名を作成してください。

強力で安全なパスワードを作成するには、次のいくつかのルールに留意してください:

個人情報 (名前、誕生日、電子メールなど) は決して使用しないでください。
より長いパスワードを作成します。
パスワードはできるだけわかりにくく意味のないものにしてください。
一般的な言葉は使用しないでください。
数字と特殊文字が含まれています。
パスワードを決して繰り返さないでください。

Web サイトを保護するには、WordPress を初めてセットアップするときに、強力なユーザー名とパスワードの組み合わせを指定する必要があります。

さらに、WordPress Web サイトに別のセキュリティ層を追加するには、2 要素認証 (2FA) を設定する必要があります。

最後に、WordPress サイトへのブルート フォース攻撃 (およびその他の悪意のある攻撃) によるアクセスを防ぐために、Wordfence や Sucuri Security などのセキュリティ プラグインの使用を検討してください。

5.マルウェアの注入

マルウェアは、ハッカーが計画を実行したいときに Web サイトに挿入して実行できる悪意のあるソフトウェアの一種です。

マルウェアはさまざまな方法で挿入される可能性があります。これは、WordPress サイト上の適切にフォーマットされたコメントのような単純なものから、サーバーへの実行可能ファイルのアップロードのような複雑なものを通じて挿入される可能性があります。

最良のシナリオでは、マルウェアは問題を引き起こさず、顧客に製品広告を表示するなど、害のないことを行う可能性があります。この場合、Wordfence Security などのマルウェア スキャナ プラグインを使用してマルウェアを削除できます。

しかし、極端な場合には、マルウェアがサーバー上で危険なアクションを実行する可能性があり、データベース内のデータ損失や、WordPress Web サイトでのアカウントの作成などの同様の結果につながる可能性があります。

この最悪のシナリオを解決するには、通常、クリーンなバックアップから Web サイトを復元し、ハッカーがどのようにしてシステムに侵入したのかを解明し、脆弱性にパッチを適用する必要があります。そのため、Web サイトを定期的にバックアップすることが重要です。

6.フィッシング

フィッシング攻撃では、攻撃者はサーバーから送信されたように見えるアドレスを使用して電子メールを送信します。攻撃者は多くの場合、Web サイトのユーザーや顧客にリンクをクリックして何らかのアクションを実行するよう要求しますが、ユーザーはそれが実際にはサーバーからのものではないことを知らずに実行する可能性があります。

フィッシング攻撃にはさまざまなスタイルがあり、キャット フィッシング、スピア フィッシングなどの名前が付けられています。種類に関係なく、フィッシングには常に偽の (ただしオリジナルに見える) 電子メール アドレスと悪意のあるページへのリンクが含まれます。

攻撃者は通常、Web サイトの実際のログイン フォームと同じように見える偽のフォームを表示します。ユーザーがすぐにフォローアップしない場合、1 つ以上の異なるログイン資格情報を悪意のある Web サイトに送信する可能性があります。

その結果、ハッカーは他の Web サイトにブルート フォース攻撃を行うための別のユーザー名とパスワード、およびユーザーのバックエンドにアクセスするための正確なログイン資格情報を取得できるようになりました。

電子メールの元々の設計方法により、電子メールの「差出人」アドレスは簡単になりすますことができ、フィッシング攻撃を阻止することが難しくなります。

しかし、現在では、SPF、DKIM、DMARC などのテクノロジーにより、電子メール サーバーが電子メールの送信元をチェックし、ソース ドメインを検証できるようになります。これらの設定が正しい限り、すべてのフィッシングメールは受信側サーバーによって検出され、スパムとしてマークされるか、ユーザーの受信箱から完全に削除されます。

SPF、DKIM、DMARC が正しく設定されているかどうか不明な場合は、Web ホストに問い合わせてください。ほとんどのトップ Web ホストには、これらの設定方法に関する簡単な手順が記載されています。

7.サービス拒否攻撃 (DoS および DDoS)

サービス拒否攻撃は、犯罪者が Web サイト サーバーに大量の誤ったリクエストを送信し、サーバーが正規のユーザーからの通常のリクエストを処理できなくなるときに発生します。

WordPress では、キャッシュ サービスが DDoS 攻撃の軽減に役立ちます。 Web サイトで WP Fastest Cache などの WordPress プラグインを使用して、DDoS 攻撃をチェックできます。さらに、ほとんどの上位ホストのインフラストラクチャには DDoS 軽減システムが組み込まれています。

8. クロスサイト スクリプティング (XSS)

クロスサイト スクリプティング攻撃は、コード インジェクション攻撃の別のタイプで、以前に学んだマルウェア インジェクションに似ています。

ただし、XSS 攻撃では、攻撃者は、ブラウザーが実行できるように、Web サイトのフロントエンドにある Web ページに悪意のあるクライアント側スクリプト (JavaScript) を挿入します。

攻撃者はこの機会を利用して、サイトへの訪問者になりすます (データを使用する) か、作成した別の悪意のあるサイトに訪問者を送信することでユーザーをだます可能性があります。

WordPress サイトで XSS 攻撃をブロックする最も効果的な方法の 1 つは、Sucuri などの強力なファイアウォール プラグインをインストールすることです。これを使用して、サイトの XSS 脆弱性をスキャンすることもできます。

＃＃＃結論は＃＃＃

WordPress Web サイトの安全性を確保するには、攻撃者が悪用できる脆弱性を発見するための事前の措置を講じる必要があります。この記事では、8 つの脆弱性を紹介し、それぞれの脆弱性に対する解決策を提供します。

WordPress Web サイトの脆弱性を軽減する最善の方法は、Web サイトのすべてのコンポーネントを最新の状態に保つことであることを覚えておいてください。これには、プラグイン、テーマ、さらには WordPress 自体も含まれます。 PHP のバージョンも忘れずにアップグレードしてください。

以上がWordPress の一般的な問題と脆弱性を修正する 8 つの方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。