「自分のサイトはアクセスも少ないし、狙われるはずがない」——そう思っていませんか?
しかし、現実は非情です。弊社のハニーポット(攻撃誘引システム)ネットワークでは、わずか1週間で50,000件を超える攻撃を観測しています 。
この記事では、国産セキュリティサービス「Hikosachi」を運営する専門家の視点から、今すぐ実行すべき「本当に意味のある」セキュリティ対策を解説します。
なぜ今、WordPressがこれほど狙われるのか?
WordPressは世界シェア1位のCMSであるがゆえに、攻撃者にとって「最も効率よく攻撃できる標的」です。
最近の傾向として、特定のサイトを狙い撃ちするのではなく、ツールを使って全自動で脆弱なサイトを探し出す「スキャニング攻撃」が主流です。事実、弊社のデータでも「脆弱性スキャン(vuln_scan)」や「不審な探索(unknown_scan)」が日々数百件単位で記録されています 。
攻撃者が狙っているもの
- ログイン情報の奪取: 管理画面に侵入し、サイトを改ざんする 。
- 踏み台への利用: あなたのサーバーを使って、他者へスパムメールを送信する 。
- 情報の窃取: 顧客情報や設定ファイルを盗み出す 。
専門家が推奨する「最低限これだけは」の対策3選
① 二要素認証(2FA)の導入
パスワードが万が一漏洩しても、スマホアプリ等による追加認証があれば突破は困難になります。
弊社の分析では、ログイン失敗(wp_login_failed)の件数が極めて多く、ブルートフォース攻撃(総当たり)が依然として猛威を振るっています 。2FAはこの種の攻撃に対して非常に強力な防御壁となります 。
② ログイン試行回数の制限
短時間に何度もログインを試みるIPアドレスを自動的にブロックする仕組みを導入しましょう 。
「ドアノブをガチャガチャ」と何度も回す不審者を、即座に門前払いするイメージです。
③ XML-RPC機能の停止
外部アプリから操作するための機能ですが、ここが悪用されて大量のログイン試行が行われるケースが後を絶ちません。不要であれば無効化するのが定石です 。
「国産」の脅威フィードがあなたを守る理由
世の中には多くのセキュリティプラグインがありますが、その多くは海外製です。
しかし、日本のサーバーを狙う攻撃には「特有の傾向」があります。
Hikosachiは、日本国内のビジネス環境をターゲットにした攻撃をリアルタイムで収集・分析しています 。
- 集合知による防御: 他のサイトを攻撃したIPアドレスを即座にブラックリスト化し、あなたのサイトへ届く前に遮断します 。
- 圧倒的な軽さ: 多機能すぎて重い海外製とは異なり、日本国内のサーバー環境(Coreserver等)に最適化した「Pull型」のデータ更新を採用しています 。
まとめ:攻撃が来る前に「盾」を構えよう
サイバー攻撃は「起きてから」では遅すぎます。
改ざんされたサイトの復旧には、多大なコストと信頼の失墜が伴います。
まずは、あなたのサイトが今どのようなリスクにさらされているか、無料の「脅威IP診断」でチェックしてみることから始めてください。
