1. ホーム /
  2. お役立ち情報 /
  3. ホームページ作成 /
  4. WordPressで作成したホームページの攻撃状況を調査
ホームページ作成

WordPressで作成したホームページの攻撃状況を調査

WordPressで作成したホームページの攻撃状況を調査

ホームページ作成で使われるWordPressはメジャーなツールのため、世界中のハッカーから攻撃対象となります。
WordPressは便利なツールですが、セキュリティの維持が必要(たとえば脆弱性のあるプラグインのアップデート等)という欠点が挙げられます。

本記事では、WordPressで作成したホームページがどれくらい攻撃を受けているのかの独自調査結果を紹介します。

対象ドメイン数
101個
調査期間
2018年12月10日~2019年2月25日(53日間)

各ドメインごとのブロックIP数

かなりバラつきがありますが、最大で7,390回攻撃を受けているホームページがありました。
各ドメインごとのブロックIP数
なお対象としたホームページは有名企業が運営するようなメジャーなものではなく、全て一般的に認知されていないマイナーなものです。(中には一日のアクセス数が一回も無いものもある)
中小零細企業規模のホームページも攻撃されているということです。

次に紹介するのは国別のIPブロック数ランキングです

国別ブロックIP数(1~10位)

様々な国が攻撃的なサイバープログラムを実施していることがわかります。
国別ブロックIP数

1位:ポーランド(PL)
29,517
2位:トルコ(TR)
10,019
3位:ロシア(RU)
9,835

WordPress作成ホームページ改ざん被害の実体験!復旧方法紹介

企業のホームページ運用担当者が誤解されがちなこと

「ホームページ制作会社に作ってもらったから大丈夫」と誤解されている方がいますが、それは契約されている内容によって変わります。
納品後もホームページ制作会社にセキュリティ保守費用をお支払いしている場合、堅実に保守していれば安心できます。

しかしながら、納品して完了の場合には悪意のあるプログラムを埋め込まれるリスクは高く、WordPress※(1)で作られているのならば時間の問題です。
※(1):WordPressは世界のWebサイトの約43.2%で使用されています。
参考:2022年1月15日W3Techs調べ 

  • 【安心】ホームページ制作会社へ依頼、納品後、毎月or年間セキュリティ保守費用を支払っている※(2)
  • 【危険】ホームページ制作会社へ依頼、納品後、セキュリティ保守契約なし

※(2):ただし、どんなにセキュリティを強固にしても、攻撃から100%守ることは不可能です。セキュリティ業界において、100%守ると謳う組織があれば、それは誇大広告・景品表示法と疑ってください。

実際に攻撃を受けた体験談

これは当方が実際に体験したことですが、当方が運営するWordPressサイトのお問い合わせフォーム経由で、数秒に200件以上の海外スパムメールが届く事象に遭いました。

大量の海外スパムメール
解決策として、以下の記事を参考に、

大量に届く海外スパムメールを賢く禁止にする方法 

お問い合わせ本文に2バイト文字(主に日本語)が含まない場合には、送信までの処理に移動しない対応でブロックしました。

この事象に遭うことになった要因

この事象に遭うことになった要因は、冒頭でお伝えしましたが、WordPressがメジャーなツールであるからです。
WordPressには、簡単に問い合わせフォームが設置できる「Contact Form 7」というメジャーなプラグインがあります。
当方もこちらのプラグインを導入しておりました。

攻撃する側※(3)としては、WordPressがメジャーなツール、さらにその中で、メジャーなプラグインを狙います。
なぜなら、世に多く出ているプラグイン(プログラム)をターゲットにすれば、効率良く何かしらの利益が得られるからです。

※(3):悪意のある攻撃者だけではなく、自動的に総当たりで問い合わせフォームから営業メールを送る業者も含む

主要国内レンタルサーバー3社のセキュリティ事情

主要国内レンタルサーバー3社のセキュリティ事情を調べました。(2022年7月時点)
3社を比較して見ると、ほぼ同様の対応策が導入されていることがわかります。
※横スクロールできます。

  WAF    
(※1)		 国外IPアドレス
アクセス制限		 FTP制限
設定		 Web改ざん
検知サービス
Xserver
 
 
 
 
(※2)
ロリポップ!
 
 
 
 
(※3)
さくらレンタルサーバー
 
 
 
(※4)
(※5)

(※1):WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策
参考URL:WAFとは?今さら聞けないセキュリティ対策の仕組みを解説 | JBサービス株式会社 
(※2):法人レンタルサーバーのみ利用可
(※3):アップロードファイルは自動的にチェックしている
(※4):接続制限するファイルへの記述が必要
(※5):有料オプション

ノーガードでWordPressサイトを運用するのはNG

WordPressでホームページ作成・運用するのはかなり便利ですが、ノーガードでWordPressサイトを運用するのはNGです。
常に安全な環境を維持する必要がありますのでご注意ください。
ホームページの維持費はいくら?内訳と目安を紹介