【WordPress】セキュリティの脆弱性を攻撃される？どのように？ざっくり解説！

2021年1月3日 2021年1月3日

こんにちは！CodeClub965のKです！

前回、Wordpressのメリットとデメリットについて述べた上で、Wordpressを使うべきシーンと使うべきではないシーンについて記事にまとめました。

まだ読んでいない方は、ぜひ読んでみて下さい！

上記の記事で以下のデメリットを2つ挙げました。

1. 細かなカスタマイズが難しい（特に機能面）
2. セキュリティの脆弱性を攻撃されるリスクがある

デメリット1は前回の記事で説明しましたが、今回はデメリット2の「セキュリティの脆弱性を攻撃されるリスクがある」について説明したいと思います。

WordPressはセキュリティの脆弱性を狙われやすい

WordPressはセキュリティの脆弱性を狙われやすいです。

なぜ狙われやすいかと言うと、

1. オープンソースで開発されている
2. サイトの構造が大体決まっている
3. 多くのサイトがWordpressで構築されている

と言うのが理由です。

WordPressはオープンソースで開発がされているので、プログラムのソースコードを全て見ることができます。

ソースコードを見ることができるので、セキュリティに脆弱性があれば、それを発見することも可能です。
加えて、Wordpressで構築されたサイトというのは、構造が大体決まっています。

分かりやすく怖いのが、Wordpressのサイトであることがわかれば、管理者ログインのURLもわかってしまうことですね。

サイトのURLに「/wp-admin」を付ければ、それが管理者URLです。

管理者URLがバレちゃうという例からも、構造が決まっていることの怖さがわかると思います。

WordPressの脆弱性が狙われやすい一番の理由が、使っている人が多いからです。

使っている人が多いので、攻撃対象がWordpressかどうか確認せずに、とりあえず攻撃してみれば良いのです。
攻撃してみて、攻撃できたらそれでOK、といった感じですね。

WordPressで構築されたサイトが非常に少なければ、効率の悪い攻撃方法ですが、Wordpressで構築されたサイトが多いので、成立してしまうのです。

攻撃者は例えば、以下のようにアプローチします。

1. WordPressのソースコードを見て、セキュリティの脆弱性を探す
2. セキュリティの脆弱性を攻撃する方法を考える
3. 考えた攻撃方法で、いろんなサイトを手当たり次第攻撃する

結果、そのうちWordpressで構築したサイトにたどり着いて、攻撃が成功するのです。

誰もが使っているツールを使うのには、意外なリスクがありますね。

仮に、Wordpressが誰も使っていないようなツールであれば安全です。笑
セキュリティの脆弱性を探して、手当たり次第攻撃するのは効率が悪く、誰もやらないためです。

例えば構築したサイトにどのようなアクセスが来ているのかが分かるようにすることを良くやりますが、大抵の場合、Wordpressの脆弱性を突いた攻撃のアクセスの跡があります。

WordPressで構築していないサイトなので何も問題はないのですが、攻撃する人が多いというのが良くわかります。

WordPressでサイトを構築する場合のリスクについて理解できましたか？

前々回、前回、今回とWordpressについて記事にしましたが、リスクや使い所を理解したうえで上手にWordPressを使っていきましょう！

ちなみにリスクに対する対策としてやっておいた方がいいことについても記事にしてますので読んでいない方はぜひ読んでみてください！

それでは、また！

Follow me!