あそびラボ 豊島区・池袋のウェブ制作会社

X instagram
採用情報 お問い合わせ
お問い合わせ

WEB講座

  1. HOME
  2. へっぽこ講座
  3. WEB講座
  4. あなたのサイトは大丈夫?乗っ取り被害の原因と対策あなたのサイトは大丈夫?...

あなたのサイトは大丈夫?乗っ取り被害の原因と対策

あなたのサイトは大丈夫?乗っ取り被害の原因と対策

先生~!知り合いの会社のホームページが乗っ取られたらしいです…怖い~T T
それは大変じゃったな。実は乗っ取り被害は珍しいことではないのじゃ。
今日は乗っ取られる原因と対策について説明するぞよ。
自分のサイトは大丈夫かな…教えてください!

ホームページが乗っ取られるとどうなる?

ホームページが乗っ取られると、以下のような被害が発生します。

乗っ取り被害の例

1. サイトの内容が改ざんされる
トップページに見知らぬ画像や文章が表示されたり、訪問者を別のサイトに飛ばされたりします。

2. 詐欺サイトに変えられる
自社サイトが知らないうちにフィッシング詐欺サイトに改変され、犯罪に加担させられてしまうケースもあります。

3. スパムメールの踏み台にされる
自社サーバーから大量の迷惑メールが送信され、サーバーがブラックリストに登録されてしまうことがあります。

4. 顧客情報が流出する
お問い合わせフォームなどから得た個人情報が盗まれ、情報漏えい事故につながる恐れがあります。

乗っ取り被害は、単に「サイトが見れなくなる」だけでは済みません。
会社の信用を大きく損なう事態になりかねないのです。

なぜ乗っ取られる?主な原因

では、なぜホームページは乗っ取られてしまうのでしょうか?

1. WordPressやプラグインの脆弱性

最も多い原因が、WordPressやプラグインのアップデートを放置していることです。

古いバージョンにはセキュリティの穴(脆弱性)が残っていることがあり、攻撃者はその穴を突いて侵入してきます。

WordPressが狙われやすい理由

WordPressは世界中のサイトの約40%以上で使われている人気のシステムです。
利用者が多い分、攻撃者にとっても「狙いやすいターゲット」になっています。

2. ユーザー名が簡単に特定できる状態になっている

実は、WordPressは初期設定のままだとログイン用のユーザー名が誰でも見れる状態になっています。

サイトのURLの末尾に「?author=1」を付けてアクセスすると、ユーザー名が含まれたページにリダイレクトされる仕組みがあるのです。

試しに確認してみよう

自分のサイトURLの後ろに「/?author=1」を付けてアクセスしてみてください。
もしURLに「/author/ユーザー名/」と表示されたら、第三者にユーザー名が見えている状態です。

ユーザー名が分かれば、あとはパスワードを突破するだけで乗っ取りが完了します。
ログインに必要な2つの情報のうち、1つがすでにバレている状態は非常に危険です。

3. 簡単なパスワードを使っている

「admin」「password」「会社名123」など、推測されやすいパスワードを使っていると危険です。

攻撃者は自動ツールを使って、よくあるパスワードを片っ端から試す「総当たり攻撃(ブルートフォース攻撃)」を仕掛けてきます。

前述のようにユーザー名が特定されていると、パスワードさえ突破できれば侵入できるため、攻撃の成功率が上がってしまいます。

4. ログインページがデフォルトのまま

WordPressの管理画面へのログインページは、初期設定では「/wp-admin/」や「/wp-login.php」でアクセスできます。

これはWordPressを使っている人なら誰でも知っている情報なので、攻撃者も当然このURLを狙ってきます。

ログインURLを推測されにくいものに変更しておくことで、攻撃を受けるリスクを下げることができます。

5. サイトを長期間放置している

作ったまま何年も更新していないサイトは、攻撃者にとって格好の的です。

誰も見ていない=侵入されても気づかれにくいため、乗っ取りやすいサイトとして狙われてしまいます。

乗っ取りを防ぐには?

乗っ取り被害を防ぐために、以下の対策が有効です。

基本的な対策

・WordPress・プラグインを最新に保つ
アップデートが公開されたら、なるべく早く適用しましょう。

・強固なパスワードを設定する
英数字・記号を組み合わせた、推測されにくいパスワードを使いましょう。

・ユーザー名を隠す対策をする
「?author=1」でユーザー名が表示されないように設定を変更しましょう。

・ログインページのURLを変更する
デフォルトの「/wp-admin/」から別のURLに変更すると、攻撃されにくくなります。

・定期的にバックアップを取る
万が一乗っ取られても、バックアップがあれば復旧できます。

・セキュリティプラグインを導入する
不正アクセスを検知・ブロックするプラグインを入れておくと安心です。

ただし、これらの対策を継続的に行うのは意外と大変です。

アップデートのたびに「不具合が起きないか?」を確認したり、バックアップを定期的に取ったり…。
本業が忙しいと、どうしても後回しになりがちですよね。

自分で管理するのが難しい場合は、保守を任せられる制作会社に相談するのも一つの方法です。

乗っ取りに気づいたらすぐに対応を

もし「サイトがおかしい」と感じたら、すぐに対応が必要です。

こんな症状があったら要注意

・身に覚えのないページやファイルがある
・サイトの表示が急に遅くなった
・Googleから「このサイトは危険」と警告が出ている
・お客様から「変なページに飛ばされた」と連絡があった
・WordPressに知らないユーザーが追加されている

被害が拡大する前に、早めにプロへ相談しましょう。

えっ、URLに「?author=1」を付けるだけでユーザー名が分かっちゃうんですか!?
そうじゃ。WordPressの初期設定では丸見えなのじゃ。
まずは自分のサイトで確認してみるのじゃ。
怖いけど、ちゃんと対策すれば防げるんですね!
そうじゃ。ただ、対策項目が多くて大変じゃから、管理が難しければプロに任せるのも賢い選択じゃぞ。
ありがとうございます!さっそくチェックしてみます!

池袋エリアでの
ホームページ制作のご相談はこちら WEB講座一覧