WordPressサイトがハッキングされる11のトップ理由(とそれを防ぐ方法)

最近、読者の1人が「なぜWordPressサイトはハッキングされるのですか? WordPress サイトがハッキングされたことがわかると、イライラしますよね。 この記事では、WordPress サイトがハッキングされる理由の上位を紹介します。

Why WordPress sites get hacked?

Why is WordPress Targeted by Hackers?

まず、WordPressだけではありません。 インターネット上のすべてのWebサイトは、ハッキングの試みに弱いのです。

WordPressのサイトがよく狙われる理由は、WordPressが世界で最も人気のあるWebサイトビルダーであるためです。 全ウェブサイトの31%以上、つまり世界中で何億ものウェブサイトを動かしているのです。

この絶大な人気により、ハッカーは安全性の低いウェブサイトを簡単に見つけることができ、それを悪用することができるのです。 ある者は、安全性の低いサイトを悪用することを学んでいるだけの初心者です。

一部のハッカーは、マルウェアを配布したり、サイトを使用して他の Web サイトを攻撃したり、インターネットにスパムを送信するなど、悪意ある意図を持っています。

それでは、WordPress サイトがハッキングされる上位の原因と、Web サイトがハッキングされるのを防ぐ方法について見ていきましょう。

1. 安全でない Web ホスティング

すべての Web サイトと同様に、WordPress サイトは Web サーバーでホストされています。 一部のホスティング会社は、ホスティング プラットフォームを適切に保護しません。 このため、そのサーバーでホストされているすべての Web サイトが、ハッキングの攻撃に対して脆弱になります。

これは、あなたの Web サイトに最適な WordPress ホスティング プロバイダを選択することで簡単に回避できます。 それはあなたのサイトが安全なプラットフォーム上でホストされていることを保証します。 適切に安全なサーバーは、WordPress サイトに対する最も一般的な攻撃の多くをブロックすることができます。

さらに事前注意を払いたい場合は、管理された WordPress ホスティング プロバイダーを使用することをお勧めします。

2. 弱いパスワードの使用

 弱いパスワードの使用

パスワードは WordPress サイトへのキーとなります。 以下のアカウントは、ハッカーにウェブサイトへの完全なアクセスを提供することができるため、それぞれ強力な固有のパスワードを使用していることを確認する必要があります。

  • WordPress 管理アカウント
  • Web ホスティング コントロール パネル アカウント
  • FTP アカウント
  • WordPress サイトで使用する MySQL データベース
  • WordPress 管理またはホスト アカウントに使用するメール アカウント

これらのすべてのアカウントはパスワードで保護されています。 弱いパスワードを使用すると、ハッカーはいくつかの基本的なハッキング ツールを使用して簡単にパスワードを解読することができます。

各アカウントにユニークで強力なパスワードを使用することで、簡単にこれを回避することができます。 WordPress 初心者のためのパスワード管理の最適な方法についてのガイドを参照して、すべての強力なパスワードの管理方法を学んでください。

3. WordPress 管理画面への無防備なアクセス (wp-admin ディレクトリ)

WordPress 管理画面は、WordPress サイト上でさまざまなアクションを実行するためのアクセス権をユーザーに提供します。 また、WordPress サイトの最も一般的に攻撃される領域です。

これを保護しないままにしておくと、ハッカーがあなたの Web サイトをクラックするためにさまざまなアプローチを試みることができます。 WordPress の管理ディレクトリに認証のレイヤーを追加することで、彼らを困難にすることができます。

まず、WordPress の管理領域をパスワードで保護する必要があります。 これにより、追加のセキュリティ層が追加され、WordPress 管理画面にアクセスしようとする人は、追加のパスワードを提供する必要があります。

マルチ著者またはマルチユーザーの WordPress サイトを運営している場合、サイト上のすべてのユーザーに強力なパスワードを強制することができます。 また、二要素認証を追加して、ハッカーが WordPress 管理領域に入るのをさらに難しくすることができます。

4. 不正なファイル権限

File permissions

File permissions は、Web サーバーが使用する一連の規則です。 これらのアクセス許可は、Web サーバーがサイト上のファイルへのアクセスを制御するのに役立ちます。 不適切なファイルパーミッションは、ハッカーにこれらのファイルの書き込みと変更へのアクセスを与える可能性があります。

すべての WordPress ファイルは、ファイル権限として 644 の値を持っている必要があります。

WordPress サイトのすべてのフォルダーのファイル権限には 755 が必要です。これらのファイル権限を適用する方法については、WordPress で画像アップロードの問題を修正する方法のガイドを参照してください。

5. WordPress を更新しない

一部の WordPress ユーザーは、WordPress サイトを更新することを恐れています。 そうすることで、ウェブサイトが壊れてしまうことを恐れているのです。

WordPress の各新バージョンでは、バグやセキュリティの脆弱性が修正されます。 WordPress を更新しないのであれば、意図的にサイトを脆弱なままにしていることになります。

更新によってウェブサイトが壊れることを恐れているなら、更新を実行する前に、WordPress の完全なバックアップを作成することができます。 この方法では、何かがうまくいかない場合、以前のバージョンに簡単に戻すことができます。

6. プラグインやテーマを更新しない

WordPress のコアソフトウェアと同様に、テーマやプラグインを更新することも同様に重要です。 古いプラグインやテーマを使用すると、サイトが脆弱になる可能性があります。

セキュリティ上の欠陥やバグは、WordPress のプラグインやテーマでしばしば発見されます。 通常、テーマやプラグインの作者は、それらをすぐに修正します。 しかし、ユーザーがテーマやプラグインを更新しない場合は、どうすることもできません。

WordPressのテーマとプラグインを常に最新の状態に保つようにしましょう。

7. SFTP/SSH の代わりにプレーン FTP を使用する

SFTP instead of FTP

FTP アカウントは、FTP クライアントを使用してファイルを Web サーバーにアップロードするために使用します。 ほとんどのホスティング プロバイダーは、異なるプロトコルを使用した FTP 接続をサポートしています。 プレーン FTP、SFTP、または SSH を使用して接続することができます。

プレーン FTP を使用してサイトに接続する場合、パスワードは暗号化されずにサーバーに送信されます。 これはスパイされ、簡単に盗まれる可能性があります。 FTPを使用する代わりに、常にSFTPまたはSSHを使用する必要があります。

FTP クライアントを変更する必要はないでしょう。 ほとんどの FTP クライアントは、SSH だけでなく SFTP でも Web サイトに接続できます。 ウェブサイトに接続する際に、プロトコルを「SFTP – SSH」に変更すればよいのです。

8. WordPressのユーザー名にAdminを使用する

WordPressのユーザー名に「admin」を使用することは推奨されません。 管理者ユーザー名が admin の場合、すぐに別のユーザー名に変更する必要があります。

詳細な手順については、WordPress のユーザー名を変更する方法についてのチュートリアルを参照してください。

9. 無効化されたテーマとプラグイン

Malware

インターネット上には、有料の WordPress プラグインやテーマを無料で配布している Web サイトが多数あります。 信頼できないソースから WordPress のテーマやプラグインをダウンロードすることは、非常に危険です。 これらは Web サイトのセキュリティを損なうだけでなく、機密情報を盗むために使用される可能性もあります。

常に、WordPress プラグインとテーマは、プラグイン/テーマの開発者の Web サイトまたは WordPress の公式リポジトリなど、信頼できるソースからダウンロードする必要があります。

プレミアム プラグインやテーマを購入する余裕がない、または購入したくない場合は、それらの製品に代わる無料のものが常にあります。 これらの無料のプラグインは、それらの有料の対応と同じくらい良くないかもしれませんが、彼らは仕事を成し遂げるだろうし、最も重要なのは、あなたのウェブサイトを安全に保つことです。

また、当社のウェブサイト上の取引セクションで人気のあるWordPress製品の多くのための割引を見つけることができます。

10. WordPressの設定wp-config.phpファイルを保護しない

WordPressの設定ファイルwp-config.phpには、WordPressデータベースのログイン認証が含まれています。 それが侵害された場合、それはハッカーにあなたのウェブサイトへの完全なアクセスを与える可能性のある情報を明らかにします。

あなたは、.htaccess を使用して wp-config ファイルへのアクセスを拒否することにより、追加の保護レイヤーを追加することができます。 次の小さなコードを .htaccess ファイルに追加するだけです。

<files wp-config.php>order allow,denydeny from all</files>

11. WordPressのテーブルプレフィックスを変更しない

多くの専門家は、WordPressのデフォルトのテーブルプレフィックスを変更することを推奨しています。 デフォルトでは、WordPress は、データベースに作成するテーブルの接頭辞として wp_ を使用します。 インストール時に変更するオプションがあります。

もう少し複雑な接頭辞を使用することをお勧めします。 これにより、ハッカーがデータベース・テーブル名を推測することが難しくなります。

詳細な手順については、WordPress のデータベース プレフィックスを変更してセキュリティを向上させる方法についてのガイドをご覧ください。

ハッキングされた WordPress サイトをクリーンアップする

ハッキングされた WordPress サイトをクリーンアップすることは、本当につらいことです。 しかし、それは可能です。

Here are some resources to get you started on cleaning up a hacked WordPress site.これは、ハッキングされた WordPress サイトのクリーンアップを開始するためのリソースです。

  • 初心者のためのハッキングされた WordPress サイトの修復方法
  • How to scan your WordPress site for potentially malicious code
  • how to find a backdoor in a hacked WordPress site and fix it
  • What to do when you are locked out of WordPress admin (wp-admin)
  • Beginner’s guide: バックアップからWordPressを復元する方法

Bonus Tip

磐石のセキュリティを確保するために、すべてのWordPressサイトでSucuriを使用しています。 Sucuri は、マルウェアの検出と除去サービス、およびウェブサイトファイアウォールを提供し、最も一般的な脅威からウェブサイトを保護します。

3ヶ月で45万件のWordPress攻撃をSucuriがどのようにブロックしたかを見る

この記事で、WordPressサイトがハッキングされる理由のトップについて知っていただけたら幸いです。 また、WordPress サイトを保護するための究極の WordPress セキュリティ ガイドもご覧ください。

この記事が気に入ったら、WordPress ビデオ チュートリアルの YouTube チャンネルを購読してください。 また、Twitter や Facebook でも私たちを見つけることができます。

コメントを残す

メールアドレスが公開されることはありません。