ドメインを取得して、レンタルサーバーにWordPress(ワードプレス）をインストールした後、ワードプレスのアップデートをあまりしていない、放置していると・・
サイトを改ざんされたり、
最悪サイトを乗っ取られる可能性もあります。

レンタルサーバーでワードプレスをインストールする方法は、以下２つあります。

• 簡単インストール：レンタルサーバーのコントロールパネルからドメイン、ユーザー名、パスワード、データベースなど一括で設定できます。
  
• 手動インストール：https://ja.wordpress.orgからワードプレス本体を取得して、FTPやSSHで手動で展開する

簡単インストールは、レンタルサーバーによって名称の違いや設定できる項目に若干の違いがあります。

簡単インストールしたワードプレスは、自動的に新しいバージョンにアップデートしてくれるので安心です。

手動インストールした場合は、wp-config.phpを書き加えることで自動更新に対応できます。
ワードプレスCoreを自動更新する設定：https://codex.wordpress.org/Configuring_Automatic_Background_Updates


テーマやプラグインの脆弱性も狙われるので、上記リンクにテーマやプラグインの自動更新方法も掲載されているので参考にしてください。




では、実際の攻撃された例から、WordPressの脆弱性をどのように狙ってくるのかご覧ください。

WordPressの脆弱性突く攻撃とは？【実例ログ付き】

ドメイン名は、例としてexample.comにしています。
このサイトは、www.example.comが正規のURLです。

初めはwp-loginを狙ってきます。

example.com 11:47:58  GET /wp-login.php HTTP/1.1 403 214
example.com 11:47:59  GET /wp-login.php HTTP/1.1 403 214

403エラーになっていることがわかりますが、１秒間隔で２回アクセスを試みています。

UserAgentは、偽装も可能なのであまり信頼できませんが、IE9を使っているようです。
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)

時間を空けて、wwwなしの/にアクセスしてきます。

example.com 15:41:48　GET / HTTP/1.1 301 -

この時のUserAgentは、
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
に変わっていました。

初めにブラウザでwp-loginにアクセスして、これ行けそうかも？って狙いをつけられてしまったようです。
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)は、おそらく攻撃用のプログラムじゃないかと推測しています。

この後から具体的な脆弱性を探る攻撃が始まりました。

以下example.com へのアクセスです。

15:41:51 POST /wp-content/plugins/Login-wall-etgFB/login_wall.php?login=cmd&z3=c2ZuLnBocA%3D%3D&z4=L3dwLWNvbnRlbnQvcGx1Z2lucy8%3d HTTP/1.1 404 32745 
15:41:54 GET /wp-content/uploads/sfn.php HTTP/1.1 301 - 
15:41:55 POST /wp-admin/admin-ajax.php HTTP/1.1 403 225
15:41:55 GET /wp-content/plugins/revslider/temp/update_extract/sfn.php HTTP/1.1 301 -
15:41:56 GET /wp-content/plugins/revslider/sfn.php HTTP/1.1 301 -
15:41:57 POST /license.php HTTP/1.1 404 31822 
15:41:58 POST /uploadify/uploadify.php?folder=/ HTTP/1.1 404 31822
15:41:58 POST /tiny_mce/plugins/tinybrowser/upload_file.php?folder=/&type=file&feid=&obfuscate=&sessidpass= HTTP/1.1 404 32745
15:41:59 GET /sfn.php HTTP/1.1 301 - 
15:42:00 POST /sites/all/libraries/elfinder/php/connector.minimal.php HTTP/1.1 404 32745
15:42:01 POST /wp-content/plugins/jquery-html5-file-upload/jquery-html5-file-upload.php HTTP/1.1 404 32745
15:42:02 POST /wp-content/plugins/woocommerce-product-options/includes/image-upload.php HTTP/1.1 404 32745
15:42:03 POST /modules/mod_simplefileuploadv1.3/elements/udd.php HTTP/1.1 404 32745
15:42:04 GET /?feed=rss2 HTTP/1.1 301 -
15:42:05 GET /feed HTTP/1.1 200 760300

攻撃する側のプログラムは、何に脆弱性があるかのリストを持っていて、
サイトがそのプラグインを持っているかを確認していることがわかります。

これら攻撃は、404、301でほとんど失敗しています。

あなたのサイトで、ここにあげたようなパスをお持ちなら、最新版にアップデートしてください。
HTTPのaccess_logをチェックすると攻撃の形跡が残っているはずです。
もし、200（正常）のログが残っているとやばいかもしれません。


この後、この攻撃者はxmlrpc.phpへ１秒間でPOSTを続けています。いわゆるDoS攻撃ってやつですね・・

POST /xmlrpc.php HTTP/1.1 200 439

ちなみに、この記事の投稿日前日のログです。
今回の大量のアクセス＋503エラーの増加で気付けました。

ここまでで、ワードプレスの脆弱性をつく攻撃の一端がわかったかと思います。

• 攻撃者は、ワードプレスに関連するテーマ、プラグイン、本体の脆弱性情報を持っている
  
• 脆弱性リストに基づき、穴を探してくる。
  
• 穴がなかったらDoS攻撃で嫌がらせしてくる。
  

DoS攻撃の退治法

DoS攻撃は、htaccessの設定で撃退できます。
同一IPアドレスで攻撃を受けていたので、
example.com/.htaccessに

Order allow,deny
allow from all
deny from 192.151.149.10

を追加して退治？しました。
意欲ある攻撃者だとすると、IPアドレスを変えて攻撃してくるかもしれません。
ワードプレスってこういうところが嫌ですね・・・

xmlrpc.phpに対するアクセスだけをガードする方法もあります。
「xmlrpc.php」でググると色々方法が出てくるので参考にしてください。

DoS攻撃は、Google Search Console、Google Analyticsで気づくことができる？

Google Search Console、Google Analyticsのタグをサイトに貼っていても
気づくことはできません。

Google Search Consoleは、Googleの検索結果に対する情報を提供してくれます。
ダイレクトアクセスでサイトに訪れたアクセスは対象外です。

Google Analyticsは、サイトに訪問してきたアクセスや行動などの情報を提供してくれます。
Google Analyticsの仕組みは、サイトの情報をブラウザで読み取ってブラウザがJavascriptを実行することで収集されます。
phpプログラムを対象にした攻撃では、このJavascriptが埋め込まれていません。
またAnalyticsのタグがあったとしても、攻撃者はJavascriptが動かないブラウザライクなものを使っている可能性もあります。

Web改ざんを検知してくれるオプションってあるの？

攻撃者の目的の１つは、Webサイトの内容を書き換えてしまうことのようです。
今回、たまたま、脆弱性のあるプラグインを使っていなかったので難を逃れることができました。
複数のサイトを持っていたりすると異常がないかを監視するのも何かと大変です。

これは後ろ向きな対処ですが、確実な方法の１つです。

FTPパスワードが漏れた、ワードプレスのログインパスワードが漏れた場合でも検知できるからです。

Web改ざんを検知してくれるオプションは、
Webが改ざんされたことを検出してくれるサービスです。

このサービスを提供しているサーバーは、
SSDプランが月々685円から使える！さくらのVPS
です。

オプションは有料なので別途月額料金が発生します。
さくらインターネットの「Web改ざん検知サービス」は株式会社セキュアブレインが提供する「GRED(グレッド) Web改ざんチェック」を利用したサービスです。
月額は972円(税込)〜
（対象ドメイン、ページ数によって月額料金、年額料金が変動します。）