丸川珠代五輪相のHPが改ざんされる

丸川珠代五輪相のHP改ざんについて

昨日、丸川珠代五輪相のHPが改ざんされたニュースがありました。
↓　ヤフー・ニュース　2/6(月) 20:47 掲載
http://news.yahoo.co.jp/pickup/6229374

丸川珠代五輪相のHPはWordPressというCMS（コンテツウマネージメントシステム）というプラットフォームで作らており、最近、このWordPressへの攻撃が非常に増えてきています。WordPressはおもに個人ブログなどに使われるフリーのプログラムです。PHPという言語で作られており、手軽にページの更新ができたり、便利な拡張機能をプラグインなどで実装できることから非常に多くのユーザーを取り込んでおります。

しかしながら、WordPressによって作られたHPはプログラムの塊で、それがネット上にオープンになっている状態であることからさまざまな危険を含むこととなります。

WordPressには管理者用の画面があり、ログインIDとパスワードで保護されております。この管理画面に入り、ページを更新したりプログラムを組み込んだりすることが出来ます。WordPressのハッキングは管理画面に入るところから始まります。WordPressの管理者用パスワードを「辞書アタック」するところから始まります。こうして管理者用のログイン情報を入手して管理者としてWebブラウザー上から入り込むところからはじまるケースが多くなってきました。

何をされるのか？

丸川珠代五輪相のHP改ざんのケースは、それ程深刻ではありません。なぜなら改ざんがパッと見て分かるからです。
実際に深刻なケースは、WordPressに追加で攻撃用のPHPプログラムコードをかかれて遠隔地より動かされたり、大量のメールを配信するプログラムを動かしたりする「踏み台」として使われていたりするケースはもっと深刻です。
これまで、多くのユーザーが扱う内容や規模などを理由に「うちはハッキングなんてされない」と他人事のように思っていましたが、最近の手口や目的からすると全てのWordPressユーザーがターゲットになっており、いつ改ざんされてもおかしくない状況が続いております。

では、どうしたらいいのか？

では、どうしたらHP改ざんのリスクから守ることが出来るのか？
対策の一つは、Webの担当がいない場合やPHPなどの専門的な知識がない場合はWordPressは使わないことがあげられます。
いわゆる「君子危うきに近寄らず」です。
しかしながら、もう既に運用しており簡単にWordPressを廃止する選択肢を選べない場合に取るべき対応策は以下の通りです。

・パスワードを不規則な出来るだけ長いものにする
・パスワードを定期的に変更する
・常に最新版のWordPressに更新する
・常にプラグインを最新のものに更新する
・デザインテンプレートも最新のものを使う
・定期的にバックアップを行う（FTP上の全データとMySQLのデータ全部）
・セキュリティ対策のプラグインを導入する

■防御に強いプラグイン

WordPressプラグイン　SiteGuard
SiteGuard
Googleの「siteguard WordPress」の検索結果