【注意】Wordpressのクラッキングが増加中です
弊社では1000を超えるWebサイト・Webサービスの運用を監視しています。2023年8月は監視中Webサイト1000件中6サイトにクラッキング(ハッキング)の被害がありました。
弊社は滋賀はもちろん関西でも有数のセキュリティ対策を行なっているにも関わらず、クラッキング被害は増加しています。
正確なデータはありませんが、WordPressは非常に人気のあるプラットフォームであるため、クラッキングの試みも増加している可能性があります。セキュリティ対策を行い、常に最新バージョンを利用することが重要です。また、セキュリティ専門家が常に新たな脆弱性を見つけて修正しているため、WordPressの開発者はセキュリティに対する取り組みを続けています。
WordPressは常にbotに狙われている
WordPressは非常に人気のあるプラットフォームであるため、クラッキングの試みも増加している可能性があります。セキュリティ対策を行い、常に最新バージョンを利用することが重要です。アナログエンジンでは、Wordpress本体・プラグインの監視システムを独自に開発し常にアップデートを行なっています。また、セキュリティ専門家が常に新たな脆弱性を見つけて修正しているため、弊社のWordPress担当者はセキュリティに対する取り組みを続けています。
しかしながら、アップデートまでのタイムラグを狙ったアタックにより侵入されることも多く、全てが万全にとは行きません。
弊社が行なっているWordpressセキュリティ対策
- 正規のテーマとプラグインを使用する:信頼性のある販売元または公式サイトからのみのオーガナイズされたプラグインのみをアナログエンジンでは利用しています。
- 常に最新のバージョンを使用する:自動的に古くなったWordPressを検知し、アラートを発報しています。WordPressは最新のセキュリティ脆弱性を修正したものに置き換えられます。
- 強力なパスワードを使用する:長く複雑なパスワードを使用していますが、弊社顧客が簡易なパスワードに変更することで、侵入される場合が大変多いです。
- 管理者アカウント・プレフィックスの変更:デフォルトのプレフィックスを変更しデータベースへのアタックを防いでいます。
- ログイン試行の制限を設定する:プラグイン「Login Rock Down」を利用し一定の時間内にログイン試行が何回も失敗した場合、自動的にアカウントがロックアウトされます。
- ファイアウォールとセキュリティプラグインの使用:セキュリティプラグインやファイアウォールを使用することで、不審なアクセスや攻撃を検出し、ブロックしています。
- バックアップを定期的に行う:弊社レンタルサーバで利用されている情報はgoogleのcloud環境に全ての顧客のバックアップを毎日保全、2週間分の復旧を可能にしています。被害が発生した場合には迅速に回復が可能です。
- 不要なテーマやプラグインを削除する:弊社オリジナルのプラグイン監視により使用していないテーマやプラグインは脆弱性を残したままアップデートされない可能性があるため適時削除しています。
- ハッキングの監視を行う:アクティビティログやウェブサイトのモニタリングツールを使用して、不審なアクティビティを監視し、早期に対処を行なっています。
その他増えているアタック事例
- 許可されていないIP、証明書を持たない接続先からのSSHへのアタック。ファイアウォールによりブロックしています。
- お客様PCを乗っ取り、メーラから大量のSPAMを配信する悪意のある試みは対処できません。
- FTPへの直接的なアタック(WAFにより防御)
- 直接的な管理画面へのアタックは、iptablesに自動的にブラックリストとして記載されます。
全てのお客様の復旧は不可能です
プロの業者として投げっぱなしの発言を致しますが、現実的に全てのクラッキング監視を無償で行うことは下記の理由で不可能です。
- 侵入の多くの理由が顧客自身のカスタム・設定変更にある
- お客様PCからの侵入については弊社では管理できません
- 顧客のパスワードの保全方法が簡素である場合が多いです
- 顧客ネットワーク環境の把握は難しいです
現在弊社が最も恐れていることは、これまでのようなクラッキングを自動化しただけのbot(ロボット処理)によるクラッキングに加えて、機械学習(ディープラーニング)で生成されたAIからのアタックが増加している現象が確認されているからです。2023年初頭から増え始めました。
全てを完璧に防御することはWebサイト管理コストの増加とWebコンテンツの更新の利便性を損いかねないため、弊社ではいち早くクラッキングを把握する独自システムの導入と、障害が発生した場合に復旧することのできるバックアップポイントの増加に集中して管理を行なっています。
弊社顧客におかれましても、社内ネットワーク・IT環境の確認とWebサイトの独自の監視を定期化していただき、セキュリティに対する理解を深めていただければと思います。
1999年創業、創業20数年のホームページ制作&Webシステム制作会社。滋賀県のみならず、北は秋田、南は鹿児島まで広い地域でお客様がいます。デザインからシステム、コンサルティングや補助金のご相談までお任せください。認定DXアドバイザー在籍。
