一般的な WordPress 攻撃とその阻止方法
WordPress は 10 年以上にわたり、主要なコンテンツ管理システム (CMS) の 1 つです。インターネット最大のブログの多くは、多くの小規模な個別サイトと同様に、テキスト、画像、ビデオ コンテンツをワールド ワイド ウェブに公開するために WordPress フレームワーク上で実行されています。
WordPress Web サイトには、フロントエンドとバックエンドの両方のインターフェイスがあります。フロントエンドは、外部の訪問者が Web ページをロードするときに表示されるビューを提供します。バックエンドには、コンテンツの起草、設計、公開を担当するサイト管理者および投稿者がアクセスできます。
他のインターネットベースのシステムと同様に、WordPress はハッキングの試みやその他の形態のサイバー犯罪の標的となっています。現在、インターネットの 32% 以上が WordPress で実行されていることを考えると、これは当然のことです。この記事では、ソフトウェアに対する最も一般的な WordPress 攻撃のいくつかを確認し、それらを防御して Web サイトの安全を保つ方法について提案します。
一般的な WordPress 攻撃の手口
まず、WordPress サイト所有者が遭遇する可能性のある一般的な攻撃を見てみましょう。
1.SQLインジェクション
WordPress CMS プラットフォームは、メタデータ情報やその他の管理情報を保存するデータベース層に依存しています。たとえば、一般的な SQL ベースの WordPress データベースには、ユーザー情報、コンテンツ情報、サイト構成データが含まれます。
ハッカーが SQL インジェクション攻撃を実行する場合、入力フィールドまたは URL を通じてリクエスト パラメーターを使用して、カスタマイズされたデータベース コマンドを実行します。 「SELECT」クエリを使用するとハッカーはデータベースから追加情報を表示でき、「UPDATE」クエリを使用すると実際にデータを変更できます。
2011 年、バラクーダ ネットワークスというネットワーク セキュリティ会社が SQL インジェクション攻撃の被害に遭いました。ハッカーはバラクーダの Web サイト全体で一連のコマンドを実行し、最終的に会社の主要データベースへのポータルとして使用できる脆弱なページを発見しました。
2. クロスサイトスクリプティング
XSS とも呼ばれるクロスサイト スクリプティング攻撃は SQL インジェクションに似ており、アプリケーションの背後にあるデータベースではなく、Web ページ上の JavaScript 要素をターゲットにします。攻撃が成功すると、外部の訪問者の個人情報が侵害される可能性があります。
XSS 攻撃では、ハッカーがコメント フィールドやその他のテキスト入力を通じて JavaScript コードを Web サイトに追加し、他のユーザーがそのページにアクセスしたときにその悪意のあるスクリプトが実行されます。不正な JavaScript は通常、パスワードやその他の識別データを盗もうとする詐欺的な Web サイトにユーザーをリダイレクトします。
eBay のような人気のある Web サイトでも XSS 攻撃の標的になる可能性があります。過去には、ハッカーが製品ページに悪意のあるコードを追加し、顧客を偽装 Web ページにログインさせることに成功しました。
3. コマンドインジェクション
WordPress のようなプラットフォームは、Web サーバー、アプリケーション サーバー、データベース サーバーという 3 つの主要な層で動作します。しかし、これらの各サーバーは、Microsoft Windows やオープンソース Linux などの特定のオペレーティング システムを搭載したハードウェア上で実行されており、別の潜在的な脆弱性領域を表しています。
コマンド インジェクション攻撃では、ハッカーは SQL インジェクションと同様に、テキスト フィールドまたは URL に悪意のある情報を入力します。違いは、コードには「ls」コマンドなど、オペレーティング システムのみが認識するコマンドが含まれることです。実行すると、ホスト サーバー上のすべてのファイルとディレクトリのリストが表示されます。
インターネットに接続された特定のカメラは、コマンド インジェクション攻撃に対して特に脆弱であることが判明しています。不正なコマンドが発行されると、ファームウェアによってシステム構成が外部ユーザーに不適切に公開される可能性があります。
4. ファイルのインクルード
PHP や Java などの一般的な Web コーディング言語を使用すると、プログラマはコード内から外部ファイルやスクリプトを参照できます。 「include」コマンドは、このタイプのアクティビティの総称です。
特定の状況では、ハッカーが Web サイトの URL を操作してコードの「インクルード」セクションを侵害し、アプリケーション サーバーの他の部分にアクセスできるようになります。 WordPress プラットフォームの特定のプラグインは、ファイル インクルード攻撃に対して脆弱であることが判明しています。このようなハッキングが発生すると、侵入者はプライマリ アプリケーション サーバー上のすべてのデータにアクセスできるようになります。
保護のためのヒント
何に注意すべきかがわかったので、WordPress のセキュリティを強化する簡単な方法をいくつか紹介します。明らかに、サイトを保護する方法は以下で説明する以外にもたくさんありますが、これらは比較的簡単に始められる方法であり、ハッカーを阻止した場合に大きな利益をもたらす可能性があります。
1. 安全なホストとファイアウォールを使用する
WordPress プラットフォームは、ローカル サーバーから実行することも、クラウド ホスティング環境を通じて管理することもできます。安全なシステムを維持するためには、ホスト型オプションが推奨されます。市場のトップ WordPress ホストは、SSL 暗号化やその他の形式のセキュリティ保護を提供します。
ホスト型 WordPress 環境を構成する場合、アプリケーション サーバーと他のネットワーク層の間の接続を保護する内部ファイアウォールを有効にすることが重要です。ファイアウォールは、レイヤー間のすべてのリクエストの有効性をチェックして、正当なリクエストのみが処理できるようにします。
2. テーマとプラグインを常に最新の状態に保つ
WordPress コミュニティには、CMS プラットフォームの力を活用するために新しいテーマやプラグインの開発に常に取り組んでいるサードパーティの開発者がたくさんいます。これらのアドオンは無料または有料のいずれかです。プラグインとテーマは常に WordPress.org Web サイトから直接ダウンロードする必要があります。
外部プラグインとテーマには、アプリケーション サーバーで実行されるコードが含まれているため、危険を伴う可能性があります。信頼できるソースと開発者から提供されたアドオンのみを信頼してください。さらに、開発者はセキュリティの改善をリリースするため、プラグインとテーマを定期的に更新する必要があります。
WordPress 管理コンソール内では、「ダッシュボード」メニューリストの最上部に「アップデート」タブがあります。
3. ウイルス スキャナと VPN をインストールする
ローカル環境で WordPress を実行している場合、またはホスティング プロバイダーを通じてサーバーに完全にアクセスできる場合は、オペレーティング システム上で強力なウイルス スキャナーを実行していることを確認する必要があります。 Virus Total などの WordPress サイトをスキャンする無料ツールは、すべてのリソースをチェックして脆弱性を探します。
リモートの場所から WordPress 環境に接続する場合は、常に仮想プライベート ネットワーク (VPN) クライアントを使用する必要があります。これにより、ローカル コンピューターとサーバー間のすべてのデータ通信が完全に暗号化されます。
4. ブルートフォース攻撃に対するロックダウン
最も人気があり一般的な WordPress 攻撃の 1 つは、いわゆるブルート フォース攻撃の形をとります。これは、ハッカーが「玄関口」で解き放たれる自動化されたプログラムにすぎません。 」 それはそこに常駐し、何千もの異なるパスワードの組み合わせを試し、価値のあるものに十分な頻度で正しいパスワードを見つけます。
良いニュースは、ブルートフォースを阻止する簡単な方法があるということです。悪いニュースは、修正を適用していないサイト所有者が多すぎることです。オールインワン WP セキュリティとファイアウォールをチェックしてください。無料で、ログイン試行にハードリミットを設定できます。たとえば、3 回試行すると、プラグインは、事前に設定された期間、その IP アドレスによるそれ以上のログインに対してサイトをロックダウンします。また、ロックダウン機能がトリガーされたことを示す電子メール通知も受け取ります。
5. 二要素認証
サイトを保護するこの気の利いた方法は、ハッカーが 2 台のデバイスを同時に制御できない可能性が高いという事実に基づいています。たとえば、コンピュータと携帯電話です。 2 要素認証 (2FA) により、Web サイトへのログインが 2 段階のプロセスに変わります。いつものように、通常の方法でログインすると、携帯電話に送信された追加のコードを入力するよう求められます。
賢いですね?この 1 つの追加手順により、ログインが異なる手順に分割されるため、サイトのセキュリティが飛躍的に向上します。 2FA のセットアップに役立つ無料プラグインのこのリストを確認してください。あなたのサイトを改ざんしようと考えていたハッカーは、おそらくすでに考えを変えているでしょう。
結論
100% 安全な Web サイトなどというものはありませんが、Web サイトを保護するために実行できる手順はたくさんあります。適切なファイアウォールを使用し、テーマとプラグインを最新の状態に保ち、定期的にウイルス スキャンを実行すると、大きな違いが生まれます。
Web サイトのセキュリティを永遠の反復プロセスとして考えると役立つかもしれません。ハッカーと Web サイト防御者の間のゲームは決して止まらず、公式に認可されたオンライン プレーヤーでさえオンライン監視ビジネスに参入するため、一歩下がって「完了した」と考える時点は決して来るべきではありません。最新の脅威とそれらを撃退する方法についての知識を常に持つことによってのみ、サイバーセキュリティとオンライン プライバシーを維持することができます。
世界がこうでなければならないのは残念ですが、それを受け入れて前に進んでください。これまでにそうしたことがない場合は、評判の高いサイバーセキュリティ ニュース サイトをいくつか見つけてみるのが良いでしょう。ニュースレターを購読するか、少なくとも定期的に訪問してください。まず、Google(または選択した検索エンジン)で「サイバーセキュリティ ニュース」を検索します。 」
質問がある場合、または追加するヒントがありますか?コメントを残してお知らせください。