![](https://www.webroad.co.jp/wp/wp-content/uploads/2023/03/xwp.jpg.pagespeed.ic.B_XVEL0fhj.jpg)
WordPressはPHPというプログラム言語を使っていて、MySQLというデータベースで情報を蓄積し、システムを動かしています。
情報をストックしていくのがこのMySQLという情報の倉庫(データベース)なのですが、ここにはWordPressサイト運営に関する様々な情報が蓄積されていきます。
ブログの記事の情報もそうですし、ログイン画面のIDパスワードやカテゴリや設定関係の情報も全てこのデータベースに格納されています。
このWordPressで使うMySQLというデータベースを悪意のある外部の人間が不正に侵入しようと試みる方法の一つが、SQLインジェクションと呼ばれている攻撃です。
データベースの中の情報は、SQL構文という法則によって規則的に配置されています。
WordPressのサイト側から情報が入力されれば、この法則に従ってデータベース内に記録されていきます。
![](https://www.webroad.co.jp/wp/wp-content/uploads/2023/03/xdb.png.pagespeed.ic.T_N4rcsZi7.png)
SQLインジェクションという不正なアクセスは、このSQL構文の厳格なルールを崩して、データベース内部の情報を破壊したり、情報漏洩を試みたり、データベースの内容の書き換えや削除や、めちゃくちゃに破壊することを目的としています。
![](https://www.webroad.co.jp/wp/wp-content/uploads/2022/08/6-1.png.pagespeed.ce.mBioHGdMZD.png)
WordPress本体やテーマやプラグインが常に最新版にアップデートするよう求められているのは、何らかの弱点が見つかった時に、このような攻撃を防げるようなプログラムに修正が求められているということなのです。
SQLインジェクションの格好の
ターゲットはどんなサイト?
![](https://www.webroad.co.jp/wp/wp-content/uploads/2023/03/members.png)
ここまで見てきますと、わざわざSQLインジェクションで攻撃をするのは、データベースにお客様の様々な情報が蓄積されているWordPressサイトということになります。
例えば、会員情報入力フォームがあり、お客様の情報をデータベースに登録して、マイページを持っているような会員制サイトが、格好の攻撃対象として挙げられます。
その他にも、MySQLのデータベースを利用したプログラムの全てにおいて、攻撃対象であるということができます。
![](https://www.webroad.co.jp/wp/wp-content/uploads/2023/03/230324-1.jpeg)
具体的な攻撃方法としては、会員情報入力フォームや、お問い合わせフォームに、プログラムが誤作動を起こすような情報を入力して、データベースの内部に侵入する形がほとんどです。
「A' OR TRUE(サンプルです)」
![](https://www.webroad.co.jp/wp/wp-content/uploads/2023/03/230324-2.png)
例えば上記のカギカッコ内のテキストを入力フォームの入力窓に入れて送信するだけで、WordPressのアップデートやプラグインの更新などの対策がきちんと取られていないホームページは、誤作動を引き起こす可能性が高まります。
多くの場合は、個人情報をデータベースから外部に漏洩させたり、自分たちのサーバーにコピーしたり、通信で情報を引っ張ってきたりしたいということになります。
![](https://www.webroad.co.jp/wp/wp-content/uploads/2022/08/6-1.png.pagespeed.ce.mBioHGdMZD.png)
このようにSQLインジェクションとは、一般的には氏名や商品名や住所名を入れたりする入力窓に、誤作動を引き起こす上記のようなプログラムで記述された文面を入力(SQL構文への挿入と言います)することで引き起こされます。
一度このようなSQLインジェクションで不正なプログラムが入力され後作動を引き起こされると、この部分だけを取り除くだけではリカバリーが困難な事もあり、サイト全体を作り変える必要が出てくる場合も想定されます。
事前にこのような攻撃をされる隙を作らないように対策をしておかなければなりません。
![](https://www.webroad.co.jp/wp/wp-content/uploads/2023/03/20230324-3.jpeg)
まだデータベースにお客様の個人情報を入れていないから、攻撃されないということはありません。
確かにお客様情報がデータベースに入っていなければ、個人情報の漏洩というリスクは逃れるかもしれません。
しかし、乗っ取りをされて、自分のWordPressやドメインが、悪意のある人の思いのままに操られて、犯罪の拠点にされる可能性もあるのです。
こちらは10年以上前の事件ですが、このような感じでパソコンやサイトが乗っ取られて、拠点にされることも実際に過去に起こっています。
パソコン遠隔操作事件(出典:フリー百科事典『ウィキペディア(Wikipedia)』)
https://ja.wikipedia.org/wiki/%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3%E9%81%A0%E9%9A%94%E6%93%8D%E4%BD%9C%E4%BA%8B%E4%BB%B6
今の時代はWordPressで作られているサイトが、世界中のサイトの4割以上になっています。
常に更新されていない古いWordPressは
狙われています。
SQLインジェクション問題を
解決する5項目
- WordPressでオープンソースの信頼できるテーマやプラグインを使っているか?
- WordPress内のプログラムを常に最新版にアップデートしているか?
- サーバー側のIP制限やWAF設定などで対策をしているか?
- セキュリティプラグインなどを使いログイン情報の管理をしているか?
- IDパスワードを推測しにくい、少なくとも20文字以上の英数小大記号文字などで複雑化しているか?
![](https://www.webroad.co.jp/wp/wp-content/uploads/2023/03/pw.jpeg)
常に上記のセキュリティ対策を行い、保守管理していればひとまずは安心です。
もしあなたがWordPressサイトを運営していて上記のいくつかの対策が取れていないようでしたら、危険度は上がってきます。
他社製のWordPressサイトを運営管理されている事業者の方でも、テーマや作り方によっては弊社にて保守管理することは可能ですので、心配な事業者様は下記よりお問い合わせください。
自社サイトの状況を拝見し、弊社にて保守管理が可能かどうか、費用面も含めてご提案させていただきます。
投稿者プロフィール
![山口 敦](https://www.webroad.co.jp/wp/wp-content/uploads/2022/06/xprofile-webroad.webp.pagespeed.ic.p1PwNYoD2h.webp)
- 2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界17年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら
最新の投稿
お知らせ2024年7月27日制作費10万円+月額4,500円での制作サービスのご提供を開始します
サイト運営ノウハウ2024年7月27日WordPressで19年間エックスサーバーを使っている感想
お知らせ2024年7月24日お盆期間中の休業日のお知らせ
01メルマガバックナンバー2024年7月17日中小企業の採用活動は有料求人媒体を使うな
お問合せフォームはこちら
(※営業電話が多いため留守電にしています。お急ぎの方は下記メールフォームをお使いください。)
お見積りのご依頼・打ち合わせはZOOM/GoogleMeet/お電話等、オンラインでも対応可能です。全国からお問い合わせを受付けています。 2営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。