[WordPressセキュリティ統計] WordPressサイトがハッキングされる4つの主な理由とそれを防ぐ方法
公開: 2021-02-22インターネット上のすべてのWebサイトの34%に電力を供給し、CMS市場で60.8%の市場シェアを持っているワードプレスは、間違いなく、世界で最も人気のあるコンテンツ管理システムです。 ただし、この絶大な人気にはコストも伴います。
何年もの間、WordPressのセキュリティは常に深刻な問題でした。 Sucuriの調査では、感染した8,000のWebサイトのうち、74%がWordPressで構築されていました。 Wordfenceはまた、WordPressサイトに対して毎分最大90,000件の攻撃があることを発見しました。
では、なぜWordPressはハッカーの標的にされているのでしょうか。
WordPressサイトがハッキングされる理由はたくさんあります。 この記事では、さまざまなソースから選別された実際のWordPressハッキング統計とともに4つの主な理由に焦点を当てます。 さらに、WordPressのセキュリティを確保する方法についても役立つアドバイスを提供します。
飛び込みましょう!
- 安全でないWebホスティング
- 弱いパスワード
- 古いWordPressサイト
- 古くなった、または無効になったテーマとプラグイン
- WordPressのセキュリティを確保する方法
安全でないWebホスティング
「WordPressサイトの41%は、脆弱なホスティングプラットフォームが原因で攻撃されています。」
他のウェブサイトと同様に、WordPressはウェブホストまたはサーバーでホストされます。 ほとんどのWordPressサイトの所有者は、Webホスティングを選択する際に真剣に考慮していないようです。 一般的に、彼らはそれがより手頃な価格であるため、共有ホスティングプランで彼らのウェブサイトをホストします。 残念ながら、これは攻撃者にとって有利な獲物であることが判明しました。
その共有サーバーでのハッキングの試みが成功すると、ハッカーがそのハッキングされたサイトを介してサイトにアクセスできるため、サイトの脆弱性につながる可能性があります。
弱いパスワード
これは、ブルートフォース攻撃が成功する最も頻繁な原因の1つです。 WP Smackdownは、パスワードが弱いためにWordPressサイトの8%がハッキングされていることを証明しています。
驚いたことに、この日付まで、人々は自分のサイトを保護するために、「123456」や「password」などの簡単に推測できる一般的なパスワードを使用しています。 NordPassは、2020年のパスワードの使用量の上位を要約しており、それらが明らかにすることで、あなたは驚愕するでしょう。
| トップ10のパスワード | ユーザー数 | それをクラックする時間 |
| 123456 | 2,543,285 | 1秒未満 |
| 123456789 | 961,435 | 1秒未満 |
| 写真1 | 371,612 | 3時間 |
| パスワード | 360,467 | 1秒未満 |
| 12345678 | 322,187 | 1秒未満 |
| 111111 | 230,507 | 1秒未満 |
| 123123 | 189,327 | 1秒未満 |
| 12345 | 188,268 | 1秒未満 |
| 1234567890 | 171,724 | 1秒未満 |
| senha | 167,728 | 10秒 |
彼らの調査によると、ユーザーは覚えやすい数字や文字列をパスワードとして設定する傾向があります。 さらに、利便性のために、複数のアカウントに同じパスワードを再利用する傾向があります。 最も重要なのは、覚えやすいパスワードであるほど、パスワードが解読される可能性が高くなります。
古いWordPressバージョン
古いWordPressバージョンは、サイトがハッキングされる最大の理由の1つです。 Sucuriの調査によると、ハッキングされたWebサイトの36.7%が古いバージョンを実行しています。
新しいバージョンでは、より高度な機能が追加され、古い機能の脆弱性が修正されます。 ただし、一部のユーザーは自己更新機能を無効にすることさえあります。 WordPressによると、WordPressユーザーの32.2%だけがサイトを最新バージョン(5.6)に更新しています。
なぜユーザーは自分のサイトを最新のものにすることを拒否するのですか?
主な言い訳は次のとおりです。
- 彼らは忙しさ(または怠惰)のために更新通知を遅らせたり忘れたりする傾向があります。
- 彼らは、更新がサイトのパフォーマンスに影響を与えることを心配しています。
しかし、あなたは、時には、無知があなたに多くの費用をかけることを知っています。 2012年のロイターブログプラットフォームへのハッキングは、そのような典型的な教訓です。
ロイターは、WordPressのインストールを最新の状態に保つことを忘れ、ハッカーに自分のサイトを攻撃する機会を与えました。 彼らは、シベリアの反乱軍の指導者とのインタビューの疑いを含め、ロイターのウェブサイトに多数の虚偽の投稿を詰め込んだ。 当時、ロイターは3.4.1ではなくバージョン3.1.1を使用していました。
古くなった、または無効になったテーマとプラグイン
多くのWebサイト所有者は、テーマとプラグインの脆弱性が原因で攻撃を経験しています。 WordPressはセキュリティパッチでコアを即座に更新しますが、その改善はプラグインには適用されません。
WP Scanの統計によると、2020年までに21,936件のWordPressの脆弱性がありました。 その中で、報告されたWordPressの脆弱性の52%と11%はそれぞれプラグインとテーマに関連しており、残りはWordPressコアが占めています。
さらに、Wordfence 2020 WordPressレポートで、Wordfenceは、ヌルのプラグインとテーマからのマルウェアがWordPressのセキュリティに脅威を与えることを強調しました。 WP ScanとWordfenceはどちらも、クロスサイトスクリプティングとSQLインジェクションがWordPressプラグインとテーマで最も一般的な脆弱性タイプであることに同意しています。
Wpwhitesecurity(最終更新日は2020年10月8日)によってリストされた最も脆弱なテーマとプラグインのトップ10を参照すると、驚かれることでしょう。
最も脆弱なプラグイントップ10: 
上のグラフでは、Nextgen Gallery、Ninja Forms、およびWooCommerceが20を超える脆弱性でトップ3をリードしています。 「AllInOne WP Security&Firewall」という名前のセキュリティプラグインもこのリストに表示されます。つまり、セキュリティプラグインはハッカーの標的にもなる可能性があります。
最も脆弱なテーマのトップ10: 
添付のグラフは、プラグインと比較して、テーマが多くの脆弱性を引き起こさないことを示しています。 脆弱性の最大数は5であり、エシェロンとトラベラーのテーマに該当します。 これは、プラグインのようにテーマに機能の拡張が含まれていないためです。 彼らは主にWordPressサイトの見た目と感触に責任を負います。
WordPressのセキュリティを確保する方法
上記の驚くべきWordPressセキュリティ統計と事実から、WordPressセキュリティを確保するのに役立つ5つの実行可能なソリューションを結論付けました。 あなたが今する必要があるのは:
- あなたのウェブホスティングに投資する
- 一意のパスワードを作成する
- サイトを最新の状態に保つ
- WordPressセキュリティプラグインを使用する
- nullのテーマとプラグインの使用は避けてください
あなたのウェブホスティングに投資する
あなたはあなたが支払うものを手に入れます。 信頼性の高いウェブホスティングを選択すると、サイトがハッキングされる可能性が大幅に減少します。 高品質のウェブホスティングは、最新バージョンのPHPとMySQLをサポートするだけでなく、マルウェアスキャンと定期的なバックアップも提供します。
最も安全なホスティングオプションとして、専用サーバーを強くお勧めします。 もちろん、かなりの費用がかかりますが、サイトのトラフィックが多く、機密データが含まれている場合に非常に役立ちます。
共有ホスティングソリューションに近づかないでください。 ただし、すでに共有ホスティングプランを使用している場合は、VPSホスティングに切り替えてください。
一意のパスワードを作成する
安全なパスワードは、WordPress管理者アカウントだけでなく、Webホスティング、FTPアカウント、およびMySQLデータベースにも必要です。
強力なパスワードを作成するには、まず、「1234567」や「abcdef」などの一般的な隣接する数字や文字、および「abc123」や「111111111」などの繰り返し文字の使用を避ける必要があります。
それに加えて、異なるWebサイトに同じパスワードを使用することは控えてください。 アカウントごとに少なくとも8文字の、長くて複雑で堅牢なパスワードを考え出す必要があります。
理想的なパスワードは、単語、数字、記号の間に混在させる必要があります(例:!wdf34 * de5)。 90日ごとに定期的にパスワードをリセットすることを忘れないでください。
サイトを最新の状態に保つ
2番目のロイターにならないようにするには、WordPressサイトを最新バージョンに更新する必要があります。 ダッシュボードの更新通知に注意してください。
更新によってサイトが破損することが懸念される場合は、更新を実行する前にバックアップを作成し、ステージングサイトで更新をテストする必要があります。
WordPressセキュリティプラグインを使用する
WordPressセキュリティプラグインのインストールは、マルウェアを含むあらゆる種類の攻撃からサイトを保護するための最もシンプルで効果的なソリューションです。
脆弱性のスキャン、強力なパスワードの適用、悪意のあるネットワークのブロック、ファイアウォールの実装などを可能にするセキュリティプラグインを選択します。 この分野には信頼性の高いWordPressセキュリティプラグインが幅広くあり、Sucuri、Wordfence、BlogVaultなどの大物がいくつかあります。
ヌルのテーマとプラグインの使用は避けてください
ヌルのプラグインとテーマは、プレミアムプラグインのハッキングされたバージョンであり、ライセンスチェック機能がありません。 通常、その機能は無効になっているか、これらのプラグインやテーマから削除されているため、悪意のあるマルウェアが発生する可能性があります。
nullのプラグインとテーマは無料でダウンロードしやすいことを考えると、魅力的であることを否定することはできません。 ただし、この考えを考慮に入れてください。これらの海賊版を使用する場合、開発者から入手可能な更新がないため、セキュリティ修正はありません。
したがって、信頼できるWebサイトからオリジナルのプラグインまたはテーマをダウンロードするか、プレミアムWebサイトにお金を投資することをお勧めします。 長期的にはそれらについて考えてみてください。サイトを保護し、セキュリティ修正の新機能やさらなるサポートを受けることができます。
結論
この記事では、WordPressが実際の数字でハッキングされる4つの主な理由について説明しました。 提供されているWordPressハッキング統計は、WordPressのセキュリティを強化することがいかに重要であるかを明らかにすることを目的としています。
また、WordPressが潜在的な攻撃を防ぐ方法について役立つアドバイスを提供しました。 「予防は治療よりも優れています。」 Webホスティングの選択、WordPressコア、プラグイン、テーマの更新、および強力なパスワードの作成に特に注意を払う必要があります。
この記事で共有したいと思っているWordPressのハッキング統計はありますか? Webサイトの悪用の経験はありますか? 以下のコメントセクションでお気軽に共有してください!