WordPressは誰でも手軽にサイトを作ることができるCMSの一種で、初心者プロ問わずさまざまな人が利用しています。
多くの人が使っているツールですのでインストール自体に危険性はありません。しかし、セキュリティ対策を自分で講じる必要があるため、脆弱性を突かれたサイバー攻撃が起こりうるリスクも存在します。
この記事では、実際に起こったWordPressでの被害・復旧事例をご紹介します。
WordPressサイトの被害事例は数多い
WordPressはオープンソースのツールなので、脆弱性が見つかったときなどの保証はありません。定期的なアップデートなどのセキュリティ対策を行っていれば被害に遭うリスクはかなり減りますが、十分に対策を行わなかったことが原因で被害に遭ってしまう事例も多数あります。
WordPressの脆弱性情報を発信しているJVN(Japan Vulnerability Notes)のサイト内検索によれば、2023年1月~11月の11か月間で公表されたWordPressプラグインの脆弱性報告は743件です。平均して1日1~2件と考えると、その数がかなりのものであることが分かります。
脆弱性が見つかった場合はすぐに修正アップデートが公開されるので、なるべく早くアップデートすることがセキュリティ対策につながります。
事例①WordPressへの大規模攻撃
WordPress本体の脆弱性がサイバー攻撃につながったケースはそこまで多くありませんが、過去には大きな被害が発生した事例も存在します。最も有名かつ悪質な事件としては、2017年に発生したWordPress本体のプログラムの脆弱性を突いたサイバー攻撃があげられるでしょう。
脆弱性が見つかったのはRest APIと呼ばれるシステムです。WordPressのRest APIはWordPressの外部から内部のデータを取得する用途で利用されています。
プログラムの脆弱性を悪用したサイバー攻撃が起こった結果、約80万件ものページが改ざん被害に遭いました。※1
事例②人気YouTuberのサイト改ざん被害がニュースに
2023年、料理系YouTuberとして人気を集めているリョウジ氏のサイトが改ざん被害に遭ったという事件が発生しました。知名度の高い人物のサイトだったこともあり、この事件は大きなニュースとして話題を呼びました。
リョウジ氏のポストによれば、公式サイトのランディングページがウイルスを含むページにリダイレクトしてしまう仕様に改ざんされる被害が発生したとのこと。問題が発覚した後、リュウジ氏は「セキュリティの高いbaseのページを使用します」とXで発信したことでも話題になりました。
不正アクセスが起こってしまった原因は公表されていませんが、のちにリュウジ氏はWordPressについて「任せている管理会社では扱いが難しい」とセキュリティ対策の難しさについても発言しています。
事例③脆弱性への危機感を悪用したフィッシング
「サイバー攻撃」といえばシステムの脆弱性を利用して不正アクセスされるイメージが強いかもしれませんが、この脆弱性への危機感を悪用したフィッシングの被害も報告されています。
WordPress向けにセキュリティプラグインを提供しているpatchstockの報告※2によれば、2023年12月に「WordPressの脆弱性を修正するためのパッチを配布している」という旨のフィッシングメールが複数流通していることが確認できたそうです。
WordPressからのメールを装って違和感のないデザインで送られてきますが、気付かずにウェブ担当者がメールのリンクを踏んでWordPressにパッチをインストールするとマルウェアが仕込まれてしまうという凶悪な事案です。
WordPress保守エンジニアの復旧事例
過去の事例だけ聞いても「レアケースなので自分には関係ない」と思うかもしれませんが、このような被害は日々大量に発生しています。
WordPressの保守サービスを提供している当社のエンジニアが実際に体験し、復旧に携わったトラブル事例をいくつかご紹介します。
脆弱性をつかれサイトが改ざんされる
古いバージョンのWordPressに脆弱性が発見され、アップデートを行っていなかったサイトが改ざんされるという被害が発生。該当のサイトにアクセスすると外部の別サイトに誘導される仕様になっていました。
全データを取得し、サーバー上に新しいバージョンのWordPressを再度インストール、データから問題のあるファイルを削除することで同じサイトを復旧することに成功しました。
脆弱性からマルウェアを埋め込まれる
該当サイトにアクセスするとマルウェアが増殖し続け、外部サイトへ誘導される改ざん被害の事例です。
プラグインに脆弱性があり、マルウェアを埋め込まれてしまったのではないかと推測されます。特に長期間アップデートしていないプラグインはマルウェア感染リスクが高いので、十分な注意が必要です。マルウェア対策については「Webサイトのマルウェア対策はどうすべき?対策から対処法まで徹底解説」をご参照ください。
他のサーバー利用者の影響で改ざん被害
ホスティングサーバーのディレクトリ(フォルダ)に脆弱性があり、同じサーバーの別ユーザーがマルウェアに感染したことでサーバー経由の感染が発生しました。
サイトのコアファイルやテーマ、プラグインだけではなくサーバーの脆弱性にもリスクがあることが分かる事例です。
まとめ
WordPressに脆弱性が見つかり、改ざんなどの被害が起こった事例は数多く存在します。セキュリティ管理ができていれば攻撃を受けることはほとんどありませんが、古いバージョンのまま放置されているサイトはサイバーテロの格好の餌食となってしまいます。
ご自身のサイトセキュリティが不安、どうなっているのかきちんと把握できていないという方は、WordPressの保守サービスをぜひご検討ください。保守のプロがあなたのサイトをしっかりと守ります。
自社サイトのセキュリティに不安がある企業でも安心してサイトを運営できるよう、セキュリティ管理のプロが徹底的にサポートします。
当社の保守サービスではバックアップやアップデートの管理からメールサポートでの疑問解消まで、WordPressの運用・管理をあらゆる角度から支援します。
オプションでサーバー保守・障害時の復旧まで承りますので、まずはお問い合わせください。
※1 WordFence+「Feeding Frenzy to Deface WordPress Sites」
※2 patchstack+「Fake CVE Phishing Campaign Tricks WordPress Users Into Installing Malware」
