WordPressの攻撃事例7選｜主な手法と被害に遭わないための対策

WordPressサイトへのサイバー攻撃は、ビジネスや顧客からの信頼に甚大な影響を及ぼす可能性があります。

特にサイトの改ざんや情報の漏洩、サービス停止などは取り返しのつかない損害に発展しかねません。

WordPressはオープンソースのため、攻撃者から脆弱性を見つけられやすい点がデメリットです。だからこそ、運営するWebサイトをどのように守るべきか、具体的な対策を早急に講じる必要があります。

この記事では、WordPressの主な攻撃事例をはじめ、なぜ攻撃の標的になりやすいのか、主な攻撃手法について詳しく解説します。攻撃事例を把握したい方、脅威から守るための具体的な対策方法を知りたい方はぜひ最後までお読みください。

WordPressはなぜ攻撃される？

WordPressがサイバー攻撃の標的となりやすい理由は、世界中で広く利用されているコンテンツ管理システム（CMS）だからです。

圧倒的な普及率ゆえ、攻撃者からすると効率的に仕掛けられる存在といえます。

WordPressサイトの多くは同じシステムを基盤としているため、脆弱性がひとつ発見されると、それを悪用して多数のサイトが攻撃される点も要因のひとつです。

また、WordPressはオープンソースソフトウェアゆえ、ソースコードは一般公開されています。これにより、攻撃者も脆弱性を分析しやすいだけでなく、悪用される可能性が高いです。

さらに、WordPressの機能拡張に欠かせないプラグインやテーマは開発元が多岐にわたります。これらの中にはセキュリティ対策が不十分なものや、開発が停止され脆弱性が放置されているものも珍しくありません。

特に、インストール数の多い人気のプラグインに脆弱性が発見されると、多くのサイトが危険に晒されます。

WordPressが常に攻撃の脅威に晒される理由は、これらの要因が複合的に作用しているためです。

WordPressの攻撃手法

WordPressの攻撃手法は、大きく分けると3つあります。

1. クロスサイトスクリプティング(XSS)
2. SQLインジェクション
3. ブルートフォース攻撃

それぞれ詳しく見ていきましょう。

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング（XSS）は、Webサイトの脆弱性を悪用し、悪意のあるスクリプトを埋め込んで訪問者のブラウザ上で実行させるサイバー攻撃の一種です。

主に掲示板やコメント欄、お問い合わせフォームなど、ユーザーが入力したデータをそのまま表示する機能を持つWebサイトで発生しやすい傾向があります。

攻撃者は入力フォームに悪意のあるスクリプトを記述し、サイトに保存させます。その後、他のユーザーがそのページを閲覧すると、埋め込まれたスクリプトがユーザーのブラウザ上で実行され、さまざまな被害を引き起こす危険があります。

SQLインジェクション

SQLインジェクションは、Webサイトのセキュリティ脆弱性を悪用し、悪意のあるSQLコマンドをデータベースに送信・実行させるサイバー攻撃の一種です。

主にユーザーが入力する検索フォームやログイン画面、お問い合わせフォームなど、データベースと連携する部分で発生しやすい傾向があります。

攻撃者は、入力欄にデータベースを操作するための特殊なSQLコマンドを挿入します。これにより、Webアプリケーションがそのコマンドを正規のSQLクエリの一部と誤って解釈し、意図しない操作が実行される恐れがあります。

ブルートフォース攻撃

ブルートフォース攻撃は、ログイン認証情報などを総当たりで試行し、正しいパスワードやユーザー名を特定するサイバー攻撃です。

WordPressサイトの管理画面へのログインはWeb上でアクセスできるため、標的とされる傾向にあります。

攻撃者は単語や文字列、過去に漏洩したパスワードリストなどを利用し、膨大な数の組み合わせを自動的に試行します。攻撃が成功すると、正規ユーザーとしてサイトにログインされるほか、管理者権限が奪取されたり、サイトを改ざんされたりするなどの被害に繋がります。

WordPressの攻撃事例7選

WordPressの攻撃事例は、以下のとおりです。

1. サイトの改ざん
2. マルウェア感染
3. アカウントのハッキング
4. サービスの妨害
5. 個人情報の漏洩
6. 認証情報の漏洩
7. フィッシング

それぞれ詳しく解説します。

サイトの改ざん

WordPressサイトへの攻撃の定番ともいえる被害が、サイトコンテンツの改ざんです。

攻撃者は脆弱性を悪用してサイトに侵入し、既存のページや投稿の内容を書き換えたり、悪意のあるコンテンツを挿入したりします。たとえば、サイトのトップページが別のメッセージに置き換えられる、フィッシングサイトへの誘導リンクが埋め込まれるなどです。

自動車企業の大手「トヨタ自動車」も、2013年7月に被害に遭っています。

参照元：弊社ホームページの改ざんに関する調査結果のご報告（続報）｜トヨタ自動車

サイトの改ざんは信頼性が著しく損なわれるだけでなく、訪問者が誤った情報に晒されたり、不審なサイトへ誘導されたりする危険が生じます。

マルウェア感染

WordPressサイトが攻撃されると、マルウェアに感染し配布拠点として悪用されるリスクが高まります。

攻撃者はサイトの脆弱性を突いて、悪意のあるプログラムやスクリプトをファイルやデータベースに埋め込みます。これにより、サイトにアクセスした訪問者のブラウザを通じて、コンピューターがマルウェアに感染する可能性があります。

また、サイト自体がスパムメールの送信元として利用されたり、DDoS攻撃の踏み台にされたりするケースも珍しくありません。

2023年6月には、コクヨ株式会社がランサムウェア感染の被害に遭っています。

参照元：当社グループ情報システムに対する外部攻撃に関するご報告とお詫び｜コクヨ株式会社

マルウェア感染はサイト運営者がサイバー犯罪に加担してしまう恐れがあるため、日ごろからの対策が必要です。

アカウントのハッキング

WordPressサイトが攻撃されると、管理者アカウントや他のユーザーアカウントがハッキングされる被害が想定されます。

これはブルートフォース攻撃や、パスワード関連プラグインの脆弱性などの悪用のよって発生する可能性が高いです。

攻撃者はハッキングしたアカウントに正規ユーザーとしてログインし、サイトの管理権限の奪取、登録ユーザーにおける個人情報の閲覧と改ざんが可能です。

2024年6月には、イタリアレストランチェーンの「サイゼリヤ」が不正アクセスによって個人情報約6万件が漏洩する事件が起きました。

参照元：サイゼリヤ サイバー攻撃受け個人情報約6万件漏えいか｜NHKニュース

アカウントのハッキングはサイトのセキュリティが根底から揺らぐため、サイトの制御を失うだけでなく、ユーザーからの信用も失墜する危険性があります。

サービスの妨害

WordPressサイトへの攻撃はサービスを妨害し、正常な運用を停止させるおそれがあります。

これはDDoS攻撃（分散サービス拒否攻撃）として知られる手法で、大量のアクセスを特定のサイトに集中させ、サーバーに過度な負荷をかけてダウンさせたり応答不能にしたりします。

2024年12月には、日本航空（JAL）が被害に遭いました。

参照元：JALにサイバー攻撃か 欠航や遅れも システム不具合は復旧｜NHKニュース

DDoS攻撃は、Eコマースサイトだと売上の機会損失に直結、情報提供サイトでは重要な情報を届けられなくなるでしょう。

個人情報の漏洩

WordPressサイトへの攻撃のなかで重大な被害になりやすいケースは、個人情報の漏洩です。

SQLインジェクションやデータベースと連携するプラグインの脆弱性が悪用されると、以下の顧客データが攻撃者の手に渡る可能性があります。

1. 氏名
2. メールアドレス
3. 住所
4. 電話番号
5. パスワード
6. クレジットカード情報

2023年11月には、株式会社近商ストアが不正アクセスを受け、会員1.7万人の個人情報が漏洩しました。

参照元：近商ストア､ネットスーパー会員1.7万人の個人情報漏洩か｜日本経済新聞

個人情報の漏洩は対象者への被害だけでなく、サイト運営者の信頼失墜や多額の賠償責任、ブランドイメージが回復できない事態に発展するおそれがあります。

認証情報の漏洩

WordPressサイトが攻撃されると、ユーザーの認証情報（ログインIDやパスワードなど）が漏洩する被害が想定されます。

これはデータベースへの不正アクセスや、サイトに埋め込まれたスクリプトによるCookie情報の窃取などによって引き起こされる可能性が高いです。

2024年10月には、LINE公式アカウントがパスワードリスト攻撃被害に遭っています。

参照元：LINE公式アカウントにおけるアカウント乗っ取りに関するお知らせとお願い｜LINEヤフー

漏洩した認証情報はサイトへの不正ログインに利用されるだけでなく、ユーザーが他のサービスでも同じ認証情報を使い回していた場合、パスワードリスト型攻撃によって別サービスへの不正ログインにも悪用される危険があります。

フィッシング

WordPressサイトが攻撃されると、フィッシング詐欺の踏み台として悪用されるケースも珍しくありません。

攻撃者は脆弱性を利用してサイトのコンテンツを改ざんし、正規のサイトに見せかけた偽のログインページや、不正な情報を入力させるフォームなどを設置します。

訪問者が偽ページに誘導され、個人情報やクレジットカード情報、パスワードなどを入力すると、それらの情報が攻撃者の手に渡ってしまうわけです。

フィッシング対策協議会によるレポートによると、事例は多岐にわたります。

1. ETC利用照会サービスをかたるケース
2. 交通系サービスをかたるケース
3. 警察庁をかたるケース
4. 金融庁をかたるケース
5. クレジットカード会社をかたるケース

フィッシングはサイト運営者が意図せず詐欺に加担してしまう可能性があるため、信用が地に落ちるだけでなく、法的な問題に発展する可能性があるでしょう。

WordPressを攻撃から守るための対策

WordPressを攻撃から守るための対策は、以下のとおりです。

1. 本体とテーマ・プラグインの更新を怠らない
2. セキュリティプラグインをインストールする
3. ログインパスワードを強化する

それぞれ詳しく見ていきましょう。

本体とテーマ・プラグインの更新を怠らない

WordPressサイトを攻撃から守るには、本体・テーマ・プラグインを常に最新バージョンに保たなければいけません。

WordPressの開発チームやプラグイン・テーマの開発者は、脆弱性が発見されると修正するアップデートをリリースします。これには修正プログラムが含まれているため、速やかにアップデートする必要があります。

古いバージョンのまま放置していると、攻撃者が既知の脆弱性を悪用してサイトに侵入しようと試みます。

自動更新機能を活用しつつ、更新状況を定期的に確認しましょう。

また、更新が止まっているテーマやプラグインの使用は、できるだけ避けるべきです。

セキュリティプラグインをインストールする

WordPressを攻撃から守る上で欠かせないのが、セキュリティプラグインのインストールです。常に防御できる状態にしておくと、脆弱性が見つかった場合でもリスクを抑えられます。

近年では評価の高いセキュリティプラグインがいくつかありますが、中でもおすすめなのは「Wordfence Security」です。

不正なログイン試行をブロックしてくれるだけでなく、マルウェアのスキャン、ファイアウォール機能による攻撃からの保護など、サイトの健康維持に大きく貢献してくれます。

さまざまな脆弱性から保護できるため、インストールすればWordPressサイトのセキュリティを向上できるでしょう。

ログインパスワードを強化する

WordPressへの攻撃を防ぐには、ログインパスワードの強化が欠かせません。

特定が困難なレベルまで複雑にすれば、不正アクセスを回避できる可能性が高まります。したがって、まずは強度の高いパスワードを簡単に作成できるパスワード生成ツールを利用しましょう（無料）。

パスワードは英数字を組み合わせた10文字以上にしてください。10文字以上にすることで、セキュリティが大きく高まると言われているためです。

パスワードを生成したら、WordPressのログインパスワードを変更します。管理画面左メニューから次のメニューに進んでください。

プロフィール画面の「アカウント管理」にある「新しいパスワードを設定」を選択し、新しいパスワードを入力してください。

なお、ログインパスワードは他のサイトで使用しているものを使い回さないように注意してください。ひとつのパスワードが特定されると、芋づる式で他のサイトにも被害が及びます。

WordPressのセキュリティを高めるには？

WordPressのセキュリティを高めるには、社内でアカウントの管理やパスワード設定を徹底することでまずは最低限の対策ができます。しかし、そこからより高度な攻撃に耐えられるようにするには、セキュリティ用のWordPressプラグインを導入しておくことをおすすめします。

おすすめのセキュリティ対策はこちらの記事で紹介しています。

ログイン操作記録のログをとったり、二要素認証を導入したり様々な施策がプラグインで可能です。また、セキュリティ対策プラグインには取り扱いやすい国産のものもありますので、そちらも紹介しておきます。

基本的には、プロに依頼しなくとも自前で対策ができるのがWordPressのセキュリティ対策です。ぜひやってみてください。