外部攻撃者にログインされたサイト、その原因は…
2018年~2019年頃、WordPressで作成されたある公的機関のサイトの運営者から、外部攻撃者にログインされたサイトに対して、第三者としてアドバイスを求められたことがありました。
そのサイト内を拝見し、確認したことがあるのですが、その際はすでにサーバー内ディレクトリにおいて、削除しても再生成されるプログラムが設置されていました。
プログラムが設置されたサーバー内のディレクトリ自体を削除しても、時間が経つと知らないうちにディレクトリが再生成される繰り返しになり、サーバーの解約とサーバー内で管理しているすべてのサイトの一からの作り直しという事態に遭いました。

この事例の原因としましては、いくつか考えられ、主な原因を思い返すと、
- WordPressの管理者の権限を持つアカウントを10個程度作られていた
- それぞれのIDやパスワードが非常に簡単なものになっていた
- 全体を統括しているが管理者がいなかった
- かつ、パソコンが得意ではない中高年の方が管理者アカウントに多くいた
上記のような状況で、その中のある1つのログイン情報が漏洩し、そのID・パスワードでログインされていたという経緯がありました。
業務の引き継ぎ引き継ぎで、担当となった方が次々に新しく管理者を生成し、配置転換の後も、使わなくなった自らの管理者アカウントの整理をすることもなく残していたようです。
その中の特定の方の管理者の名前で、何度も繰り返し英文字の投稿がされ、それで気付いたようです。
明らかに、その方のログインIDとパスワードの流出が原因だと考えられました。
IPAのアラートメールでも、WordPressのリスクに対する注意喚起メールが頻繁に来ますが、悪意のあるプログラムに侵入された場合は時すでに遅しで、この場合は、サーバーの移転を含めた対策が必要になるのではないかと考えています。
▶️IPA公式サイト
対策はどうするか?
対策としましては、原始的ですが、
- 管理者権限は2名程度までにしておく
- IDとパスワードともに推測しやすいものではなく、ドメインと関連づいていない長めの文字列で設定しておく
- ログインURLは特定できないように変更しておく
上記がまず第一に行っておくべき対策となります。
WordPressに限らず、ネット上にあるすべてのサイトがこのような攻撃に晒されておりますが、IDやパスワードが推測しやすい短いものになっていたりするサイトは被害に遭いやすいです。
基本的には、管理画面のログインURL、ID(ユーザー名)、パスワードの、複雑な文字列への変更をきちんとしておくことで、多くの場合このようなプログラムによる無差別攻撃からの不正な侵入は防げます。
その他できる対策としましては、ログイン試行回数の制限やWordPress自体の管理画面のアクセスにIPアドレス制限をかけたり、二段階認証を行ったりなどがあります。
更に突っ込んだ対策を行う場合は、費用の兼ね合いもありますので、どこまでを対策とするかは検討が必要だと思います。
弊社の保守管理では上記のような、公的機関のWordPressサイトを安全にお守りいたします。
専門知識があまりない担当者の方がウェブサイトの運営管理を担当されていたり、高額な保守管理費をかけすぎていて予算的に見合わなくなった場合は、弊社の保守管理サポートで対応可能ですので、下記ページより内容をご確認の上お問い合わせください。
WordPress保守管理(委託管理)
\ いつも問題なくHPが表示されている / 当たり前の継続にはしっかりとした管理が必要です サイト管理に必要なほとんどの作業を弊社側で行います。面倒なドメイン・サーバー管理も全てお任せください。ご相談メールに対する回答は […]
投稿者プロフィール

- 2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界18年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら
最新の投稿
ご質問に対する回答2025年2月14日外部のWEB担当者を活用する方向を検討しています
ご質問に対する回答2025年2月14日宅配買取の需要が増えているため、オンラインを強化したHPリニューアルをしたい
ご質問に対する回答2025年2月14日行政書士として独立開業するにあたり、ホームページの外注先を探しています
ご質問に対する回答2025年2月13日商品券事業LP制作に関する概算お見積りのご相談
お問合せフォームはこちら
弊社サービスをご検討いただきありがとうございます。
相見積もりや社内検討用など、概算お見積りのPDFが必要な場合はこちらでご入力・出力できます。
こちらのカテゴリ内のご質問と回答で解決できない場合は、ぜひ下記フォームよりお問い合わせください。ご相談・お見積りのご依頼は無料です。
お申込前のお打ち合わせはメール/お電話/GoogleMeet等オンラインでもご対応可能です。全国からお問い合わせを受付けています。 翌営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。