Webサイトはどのようにハッキングされますか？

WordPress Webサイトの所有者として、ハッキングや悪意のある攻撃から操作を安全に保つためにセキュリティが大きな役割を果たしていることをすでにご存知でしょう。 しかし、どのようにしてWebサイトが正確にハッキングされるのでしょうか。 ハッカーが攻撃でWordPressサイトを破壊しようと試み、しばしば成功するプロセスは何ですか？

過去数十年でWebは飛躍的に成長しましたが、悪意のある人物によるWebサイトのハッキング方法はそれほど変わっていません。 そして、あなたのサイトと訪問者を安全に保つためにあなたがしなければならない最も重要なことは、あなたが彼らの一歩先を行くことができるように、これらの不変の信頼が何であるかを完全に理解することです。

この包括的なガイドでは、Webサイトがハッキングされる方法、サイトがハッキングされた兆候などを正確に示します。 見てみましょう。

ハッキングされたWebサイトの大規模

現在、12億をはるかに超える（Bを含む）Webサイトが、今日のバージョンのWorldWideWebを構成しています。 また、平均3秒のWebサイトの読み込み時間を想定すると、1秒も休まずに、存在するすべてのサイトにアクセスするのに160年以上かかります。

これはめちゃくちゃ巨大なウェブであり、個々のエンティティが安全に監視することは完全に不可能です。 グーグルのセーフブラウジングのようなサービスは、安全でない可能性のあるサイトについてユーザーに警告しようとしますが。 現在、毎日300万を超えるこれらの警告をユーザーに配信しています。

そして、それはロサンゼルスとニューヨークを合わせた人口の大きさです。

簡単に言えば、ウェブサイトは常に悪意のある人々にとって大きな標的になります。 そして、ハッキングの全体的な影響はあなたのビジネスに壊滅的な影響を及ぼします。

しかし、良いニュースがあります。

有害で永続的な大きな脅威がありますが、適切なツールの使用と組み合わせた私たちの認識は、サイトが攻撃から安全に保たれるようにするのに大いに役立ちます。

Webサイトはどのようにハッキングされますか？ 3つの主要な方法

インターネットの過去30年間を通じて、ハッキングはほとんどの場合3つの異なるカテゴリに分類されます。

1. アクセス制御
2. ソフトウェアの脆弱性
3. サードパーティの統合

現実には、フォーチュン500のサイトを運営しているのか、地元の靴屋を運営しているのかは関係ありません。ハッカーが自分たちの工芸品にアプローチする方法はほぼ同じに見えます。

しかし、異なるのは、そもそも各ビジネスが個々にそれ自体を悪用できるようにする方法です。

• 大規模な組織では、「他の誰かがセキュリティを処理していると思った」という言い訳をよく使用します。 この種の霧と誤解は、大規模で複雑な組織では一般的です。
• 中小企業は、ハッカーが標的にしたいと思うには小さすぎると信じていることがよくあります。 彼らはしばしば、ハッカーが彼らに触れないという誤った仮定の下にあります。 これにより、最小のWebサイトからでも実際にどれだけの個人情報を取得できるかを見失いやすくなります。

どちらの場合も、ハッカーには、セキュリティについてあまり警戒していない領域で目標を達成するためのインセンティブとツールがあります。

ウェブサイト環境にはたくさんの活動があります

各タイプのハックの仕様に飛び込む前に、まずWebが実際にどのように機能するかについて非常に重要な基盤を設定しましょう。

すべてのWebサイトは、相互接続されて連携する一連のシステムに依存しています。 DNS（ドメインネームサーバー）、Webサーバー、さまざまなサーバーを収容してインターネットに接続するインフラストラクチャなどのコンポーネントがあります。

それが比較的単純に聞こえるとしても、基盤となるエコシステムは非常に複雑です。

個々のコンポーネントの多くは、専門のサービスプロバイダーによって提供されています。 単一のサービスプロバイダーから多数の異なるサービスを受けている場合でも、それ自体で機能する方程式のユニークな部分は無数にあります。

あなたのウェブサイトを現代の消費者向け車両のように考えてください。 外見はしっかりしていて流線型に見えますが、下には無数の可動部品があり、すべてが機能します。

このガイドでは、サイトの動作に関する詳細をすべて理解することは重要ではありません。 ただし、これらの個々のコンポーネントはすべて、WordPressサイトの全体的なセキュリティに影響を与えることを知っておくことが重要です。

そして、それらはそれぞれ、サイトがハッキングされる方法に貢献する可能性があります。

1.アクセス制御

これは特に、承認と認証のプロセスを表しています。 簡単に言うと、アクセス制御とは、WordPressWebサイトにログインする方法です。

そして、これはあなたがあなたのウェブサイトの管理者パネルにログインする方法を超えています。 すでに確立しているように、サイトの舞台裏で連携して機能する、相互接続されたさまざまなログインがあります。

アクセス制御について考えるとき、考慮する必要がある6つの特定の領域があります。

どうやって：

• ホストパネルにログインしますか？
• サーバーにログインしますか（SSH、SFTP、FTP）？
• あなたのウェブサイトにログインしますか？
• パソコンにログインしますか？
• ソーシャルメディアプラットフォームにログインしますか？
• これらの各変数のユーザー名とパスワードのクレデンシャルを保存しますか？

アクセス制御を見落とすのは簡単すぎます。 ただし、個々のアクセスポイントは、ハッカーにエコシステム全体へのアクセスを提供できます。

ハッカーはまた、いくつかの異なる戦術を使用して、単一の安全でないログインポイントにアクセスします。 家の泥棒がすべての潜在的な入り口をチェックし、次にあなたの家のパスコードまたはキーのコピーをこっそり（またはあなたをだまして）いるようなものと考えてください。

• ブルートフォース攻撃は最も簡単に実行でき、最も効果的な方法です。ブルートフォース攻撃では、ハッカーは信頼できるサイトユーザーとしてログインするために、潜在的なユーザー名とパスワードの組み合わせを推測しようとします。
• ソーシャルエンジニアリング攻撃の人気が高まっています。 ハッカーは、ユーザーをだましてIDとパスワードの組み合わせを自発的に入力させるように設計されたフィッシングページを作成します。
• クロスサイトスクリプティング（XSS）およびクロスサイトリクエストフォージェリ（CSRF）攻撃には、ユーザーのブラウザーを介したユーザーのログイン資格情報の傍受が含まれます。
• 中間者（MITM）攻撃も使用されます。 これにより、ユーザーが完全に安全でないネットワークで作業している場合、ユーザーのユーザー名とパスワードが簡単に傍受されます。
• キーロガーとユーザーを監視する追加のマルウェアは入力を追跡し、ユーザーに感染したハッカーに報告します。

しかし、どのような種類の攻撃が行われたとしても、ハッカーの目標は常に同じです。信頼できるログインを介してサイトに直接アクセスできるようにすることです。

攻撃のスタイルに関係なく、目標は同じです。ログインを介して直接アクセスできるようにします。

iThemes Securityプラグインは、ユーザーのセキュリティをさらに保護します。 サイトのセキュリティは、強力なパスワードを使用して安全にログインできるユーザーに依存します。 そのため、iThemes Securityは、2要素認証、セッションハイジャック保護を備えた信頼できるデバイス、ユーザーの身元を確認するためのパスワードなしのログイン、パスワード保護違反など、ユーザーに複数のセキュリティレイヤーを提供します。 ユーザーのセキュリティチェックを実行して、ユーザーのセキュリティの最も重要な要素をすばやく監査および変更することもできます。

iThemes Securityが追加するセキュリティの次の層は、Webサイトの最も攻撃された部分であるWordPressログイン画面の保護です。 iThemes Securityは、Webサイトへの無効なログイン試行を監視するために、2種類のブルートフォース保護を提供します。 ユーザーまたはボットが無効なログインを連続して何度も試行すると、ロックアウトされ、設定された期間、それ以上の試行ができなくなります。

2.ソフトウェアの脆弱性

実際には、WordPress Webサイトの所有者の大多数は、ソフトウェア開発者が推奨するパッチがなければ、今日のソフトウェアのセキュリティの脆弱性に対処することはできません。 問題は、多くの開発者が、自分が書いたコードがサイトにもたらす脅威を考慮していないことです。

意図したUX（ユーザーエクスペリエンス）に著しく影響を与えない小さなバグを悪用して、ソフトウェアに意図しないことを実行させることができます。 そして、最も経験豊富なハッカーは、これらのバグを潜在的な脆弱性と見なしています。

これを行う最も一般的な方法の1つは、不正な形式のPOSTヘッダーまたは不正な形式のUniform Resource Locator（URL）を使用して、さまざまな攻撃を開始することです。

これらには以下が含まれます：

• 標的のサイトとシステムの完全なリモートテイクオーバーを可能にするリモートコード実行（RCE）
• リモート/ローカルファイルインクルード（R / LFI）。ユーザーがフィールドに入力した内容を使用して、悪意のあるファイルをシステムにアップロードします。
• サーバーに攻撃シーケンスを送信する悪意のあるコードでテキスト入力フィールドを操作するSQLインジェクション（SQLi）

資産管理と同様に、ソフトウェアの脆弱性はWebサイトの範囲を超えています。 これらの脆弱性は、Webサイトが依存するすべての相互接続されたテクノロジー内で発見および悪用される可能性があります。

また、現在のほとんどのサイトでは、WordPressプラグインやテーマなどのサードパーティの拡張機能が混在しており、これらはすべてハッキング侵入の潜在的なポイントです。

脆弱なプラグイン、テーマ、およびWordPressコアバージョンはWebサイトの最大のセキュリティリスクであるため、iThemesSecurityはWebサイトのスキャンに機能します。 iThemes Security Site Scanを使用すると、サイトのプラグイン、テーマ、またはWordPressコアバージョンが脆弱であり、更新が必要な場合にいつでも知ることができます。 そしてさらに良い…それはあなたのために自動的にアップデートを実行します。 サイトスキャンは、利用可能な最も包括的な脆弱性データベースを利用しているため、常に最新の保護を利用できます。 また、サイトスキャンはGoogleセーフブラウジングと統合して、サイトのブロックリストステータスをチェックし、既知のマルウェアや疑わしいファイルをチェックします。

iThemesSecurityのサイトスキャンがサイトを保護するためにどのように機能するかを次に示します。

• Webサイトを1日2回スキャンして脆弱性を確認– Webサイトのプラグイン、テーマ、およびWordPressコアバージョンをWPScan脆弱性データベースと照合して最新の脆弱性の開示を確認します。
• セキュリティ修正が利用可能な場合は自動的に更新–バージョン管理と組み合わせて、iThemes Securityはプラグイン、テーマ、または脆弱性がある場合はWordPressコアバージョンを自動的に更新します。
• サイトスキャンで脆弱性が検出された場合に電子メールを送信–サイトで脆弱なバージョンのプラグイン、テーマ、またはWordPressコアが実行されている場合は、電子メールレポートを受信できます。 スキャン結果を受け取る電子メールアドレスをカスタマイズします。

3.サードパーティのサービスと統合

最後に、サードパーティのサービスと統合を通じて発生するエクスプロイトがあります。

ほとんどの場合、これらはマルバタイジング攻撃につながる広告ネットワークを介した広告の形をとります。

これらのハッキングには、CDN（コンテンツ配信ネットワーク）などの変数を含む、サイトおよびホスティングで使用するサービスが含まれます。

サードパーティの統合とサービスは、サイト管理エクスペリエンスのさまざまな部分の間で十分な相互接続を提供します。 実際、これは、WordPress、Drupal、Joomlaなどの拡張可能なコンテンツ管理システムオプションについて人々が気に入っていることの1つです。

しかし、相互接続性は、ハッカーが悪用するポイントも提供します。

最大の問題の1つは、ハッカーがこれらのサービスと統合を、Webサイトの所有者が制御できない方法で悪用する方法です。 サイトビルダーまたはマネージャーとして、サードパーティプロバイダーの統合のいずれかを使用することを選択した場合、サードパーティプロバイダーに多大な信頼を置いてきました。

そしてもちろん、多くの人が統合の保護に熱心に取り組んでいます。

しかし、他のものと同様に、固有のリスクがあります。 そして、それはハッカーが常に目を向けているものです。

iThemes Securityがサードパーティのアクセスを保護するために機能する方法の1つは、XML-RPCおよびRESTAPIの安全なアプリパスワードを使用することです。 この更新により、REST APIリクエストにユーザー名/パスワード認証を使用できるようになるため、REST APIを使用する外部ツールが接続できるようにしながら、REST APIを（推奨に従って）ロックダウンできます。

ハッキングからWebサイトを保護する

WordPressのウェブサイトのセキュリティが重要です。 WordPress Webサイトのセキュリティの大部分は、教育と認識です。 そして、このガイドを読むだけで、サイトを保護するためのより良い立場に立つことができます。

今後は、実行する必要のある特定の手順があります。 そして、それはあなたがそれらを達成するのを助けることが私たちの目標です。 残念ながら、非常に多くのWebサイト所有者が最終的にセキュリティに真剣に取り組むのは、何かがすでにうまくいかなかった後でのみです。

代わりに、痛みに先んじて、痛みを避けるために次の手順を実行してみませんか。

1. 多層防御の原則を使用します。 これには、タマネギのようなセキュリティレイヤーの構築が含まれます。 それぞれの慣行は、ハッカーがあなたのエコシステムに侵入することをより困難にします。
2. 最小特権のベストプラクティスを活用します。 各サイトユーザーのログインで許可されることを制限してください。
3. 可能な限り、2要素認証と多要素認証を作成します。 これにより、これらの特定のユーザーアクセスポイントがさらに保護されます。
4. Webサイトのファイアウォールを使用します。 これは、ハッカーがソフトウェアの脆弱性を悪用しようとする方法を制限するのに不思議に働きます。
5. 定期的にバックアップをスケジュールします。 このためのソリューションとして、BackupBuddyWordPressバックアッププラグインをダウンロードしてインストールします。 そうすれば、サイトがハッキングされた場合でも、数回クリックするだけでサイトを回復できます。
6. 主要な検索エンジンの視点を取得します。 BingWebmasterToolsとGoogleSearchConsoleはどちらも、サイトのセキュリティをどのように表示しているかに関する有用なレポートを提供します。

WordPressサイトの所有者としてこれらのセキュリティベースをカバーする最良の方法は、iThemesSecurityProプラグインを使用することです。

次に、常に100％安全を維持するための絶対確実な方法はないことを理解してください。 Webサイト環境で使用するツールは、全体的なリスクを大幅に軽減します。 ただし、セキュリティは単一のアクションまたはイベントではありません。 それは一連の行動です。

そして、それはすべて、サイトを最適に保護する方法を説明するのに役立つiThemesSecurityProのような優れたツールから始まります。

何をすべきか、何を探しているかがわかったので、このガイドで説明したセキュリティシナリオの1つに出くわすことは間違いありません。 しかし今、あなたは問題を解決するために何をすべきかをよりよく知るでしょう。

WordPressを保護および保護するための最高のWordPressセキュリティプラグイン

WordPressは現在すべてのWebサイトの40％以上に電力を供給しているため、悪意のあるハッカーにとって簡単な標的になっています。 iThemes Security Proプラグインは、WordPressのセキュリティから当て推量を取り除き、WordPressWebサイトの保護と保護を容易にします。 これは、WordPressサイトを常に監視および保護するスタッフにフルタイムのセキュリティ専門家がいるようなものです。

iThemesSecurityProを入手する

クリステンライト

Kristenは、2011年からWordPressユーザーを支援するチュートリアルを作成しています。ここiThemesのマーケティングディレクターとして、彼女は効果的なWordPress Webサイトを構築、管理、および維持するための最良の方法を見つける手助けをすることに専念しています。 クリステンはまた、ジャーナリング（彼女のサイドプロジェクト、 The Transformation Year ！をチェックしてください！）、ハイキングとキャンプ、ステップエアロビクス、料理、そして家族との毎日の冒険を楽しんでいます。