WordPress SQL インジェクション: 完全保護ガイド

公開: 2023-04-19

おそらく、「SQL インジェクション」と呼ばれるものが原因で、WordPress サイトからのトラフィック、収益、および顧客の信頼を毎日失っています。

なぜ?

シンプル – 一部のハッカーは、ビジネス トラフィックを吸い上げて次の場所に誘導することをお勧めします。

  • アダルト サイト;
  • 違法薬物サイト;
  • 宗教広告;
  • またはその他の悪意のあるサイト

あなたのサイトが Google でブラックリストに登録されています。 また、次のような警告が表示されるため、顧客やコミュニティからの尊敬を失っています。このサイトは検索結果でハッキングされる可能性があります。

最悪の部分は?

この名前も顔もないハッカーは、あなたがそれについて何もできるとは考えていません。

あなたのサイトは現在、奇妙なポップアップ、リダイレクト、スパムのようなキーワード、403 エラーに悩まされています。

私たちは 10 年以上にわたって 100 万を超える WordPress Web サイトと協力してきましたが、これらのハッキングに常に遭遇しています。

私たちは、WordPress SQL インジェクション マルウェアがサイトに損害を与える前に、何百もの Web サイトから削除する手助けをしてきました。

この記事では、このハッキングを取り除き、できるだけ早くサイトを元の状態に戻す方法を紹介します.

TL;DR :サイトから SQL インジェクションを削除するには、MalCare をインストールしてください。 60 秒以内にウェブサイトをクリーンアップします。 そして、MalCare のセキュリティ強化機能を使用してセキュリティを強化します。 これにより、今後の SQL インジェクション攻撃から Web サイトを保護できます。

ハッカー ボットは、数分以内に数百回の SQL インジェクション試行を実行するように設計されています。

1 回の試みが成功すると、Web サイトが台無しになります。

ファイアウォールまたはセキュリティ プラグインが多数の SQL インジェクション攻撃を検出した場合、Web サイトが既にハッキングされている可能性が高くなります。

そうでない場合は、幸運です。

では、サイトがすでにハッキングされているかどうかを確認するにはどうすればよいでしょうか?

その場合、マルウェアをどのように削除しますか?

心配はいりません。サイトへの SQL インジェクション攻撃を検出して駆除するために必要な正確な手順を示します。  

しかし、その前に、SQL インジェクション攻撃とは何かを理解することをお勧めします。 ただし、サイトの感染を緊急に確認する必要がある場合は、このセクションにジャンプしてください。

SQL インジェクション攻撃とは?

WordPress Web サイトはデータベースを使用して、投稿、ページ、コメントなどのデータを管理します。このデータはすべて、データベース テーブルに整理された方法で保存されます。

ワードプレス データベース テーブル

ハッカーは、SQL インジェクション攻撃を実行してデータベースにアクセスします。

しかし、なぜ誰かがあなたのデータベースにアクセスしたいと思うのでしょうか?

良い質問。

ハッカーが Web サイトに侵入しようとする場合、機密データ (ログイン情報やクレジット カード情報など) を盗むか、サイトに損害を与えることを目的としています。

データを取得する目的で悪意のあるコードがデータベースに挿入される場合、それはインバンド SQL インジェクションと呼ばれます。 ただし、データベースからコンテンツを削除してサイトに損害を与えることが意図されている場合、それはブラインド SQL インジェクション攻撃と呼ばれます。

なぜ SQL インジェクション攻撃と呼ばれるのですか?

ウェブサイトがデータベースにデータを保存するには、データベースとやり取りできる必要があります。 SQL は、サイトがデータベース内のデータを追加、更新、削除、および検索するために使用する言語です。 ハッカーは同じ言語を使用して、データベースをハッキングしようとします。

連絡先フォームや検索バーなどの Web サイトの入力フィールドを悪用して、悪意のあるスクリプトをデータベースに挿入します。 したがって、SQL インジェクション攻撃と呼ばれます。

WordPress サイトから WordPress SQL インジェクションを削除する方法

次のいずれかが発生していますか。

  • お問い合わせフォームから、数分の間に何百通ものメールが届きます。
  • 疑わしい Web サイトにリダイレクトする広告。
  • 一部のページで奇妙なポップアップが表示され、他のページではエラーが表示されます。

これらは、SQL インジェクション ハッキングの一般的な症状です。

とはいえ、この種のハッキングは実際には目に見えないかもしれません。 ハッカーは、情報を盗むためだけにサイトをハッキングした可能性があります。 サイトに変更を加える必要はありません。

そのため、サイトは完全に正常に見えても、ハッキングされている可能性があります。 確認するには、サイトをスキャンする必要があります。

スキャナーの選択肢はたくさんあります。 とはいえ、多くのスキャン プラグインは、新しい、複雑な、または非常に巧妙に隠されているマルウェアを検出できません。 MalCare はゲームよりもはるかに優れているため、お勧めします。 方法は次のとおりです。

  • MalCare は、悪意のあるコードを見つけるためにパターン マッチングに依存しません。 代わりに、コードの動作を評価するインテリジェントなシグナルが搭載されています。 これにより、プラグインは新しい複雑な悪意のあるコードを検出できます。
  • WordPress ファイルだけでなく、データベースもスキャンします。 隅々まで調べて、悪意のあるコードやマルウェアを見つけます。
  • 独自のサーバーでスキャンを実行して、Web サイトが過負荷にならないようにします。
  • プラグインは、サイトを毎日自動的にスキャンします。 また、マルウェアが見つかった場合にのみ通知します。

MalCare でハッキングを検出するには、次の手順を実行する必要があります。

ステップ 1: MalCare の WordPress マルウェア スキャナーにサインアップします。 ウェブサイトにプラグインをインストールして有効にします。 次に、サイトを MalCare のダッシュボードに追加します。

サイトですぐにスキャンが実行されます。

サイトがハッキングされていることが検出されると、通知されます。

同じツールを使用して、Web サイトをきれいにすることができます。

多くの人は、感染を駆除するためにバックアップを復元することを考えているでしょう。 これはうまくいきません。 バックアップを復元すると、既存のファイルのみが置き換えられます。ハッカーによって追加された悪意のあるファイルは削除されません。

MalCare Security での WordPress サイトのセキュリティ ステータス

公正な警告: スキャナーは無料ですが、MalCare のマルウェア除去はプレミアム機能です。 サイトをクリーンアップするには、アップグレードする必要があります。

ハックをきれいにするには、次の手順に従ってください。

ステップ 2:サイトがハッキングされたことを MalCare が検出すると、独自のダッシュボードで通知されます。

Malcare auto-clean を使用して WordPress SQL インジェクション攻撃をクリーンアップする

通知のすぐ下に、 [自動クリーニング]ボタンが表示されます。 クリックして。

ステップ 3:次に、FTP 資格情報を入力する必要があります。 それらが何であるか、またはそれらを見つける方法がわからない場合は、このガイドとこれらのビデオが役に立ちます。

FTP の詳細を追加する

ステップ 4:続いて、WordPress Web サイトが保存されているフォルダーを選択するよう求められます。 一般に、これは public_html フォルダーです。

一部の Web サイト所有者は、安全上の懸念からサイトを別の場所に移動しています。 そのため、クライアント Web サイトを管理している場合は、そのサイトが実際に public_html フォルダーにあるかどうかを確認することをお勧めします。

マルケア public_html

フォルダーを選択すると、MalCare が Web サイトのクリーニングを開始します。

Web サイトからマルウェアを削除するには、数分かかります。

MalCare 以外にも、サイトの検出とクリーニングに役立つセキュリティ プラグインが多数あります。 それらは、Wordfence、WebARXSecurity、Astra Security、Sucuri などです。これらのいずれかを試してみることができます。

WordPress は SQL 攻撃をどのように処理しますか?

何年にもわたって、WordPress はデータベースを SQL インジェクション攻撃から保護するためにあらゆる努力をしてきました。

この種の攻撃から WordPress サイトを保護するために、入力フィールドは、ユーザーが入力したデータをデータベースに挿入する前に検証する必要があります。

WordPress には、入力フィールドに挿入されたデータをサニタイズして、悪意のあるスクリプトを挿入できないようにする関数のリストがあります。

ただし、WordPress サイトはテーマとプラグインに大きく依存しています。 SQL インジェクションは、脆弱なテーマとプラグインを使用して実行されます。 これについては、次のセクションで詳しく説明します。

SQL インジェクション攻撃はどのように実行されるのか?

ハッカーは、サイトに存在する脆弱性を悪用して、Web サイトにアクセスできます。

SQL インジェクション攻撃の場合、ハッカーは Web サイトの入力フィールド (連絡先フォーム、ログイン ボックス、サインアップ ボックス、コメント セクション、さらには検索バーなど) の脆弱性を悪用して、悪意のある PHP スクリプトをデータベースに挿入します。

定型フォーム入力フィールド

それは、入力フィールドを持つことは危険であることを意味しますか?

答えはイエスでもあり、ノーでもあります。

コメントや連絡先フォームなどの入力フィールドは、プラグインまたはテーマによって強化されています。 他のソフトウェアと同様に、プラグインとテーマは脆弱性を開発し、ハッカーが SQL インジェクション攻撃を実行するために悪用します。

プラグインとテーマが WordPress の足跡をたどって SQL インジェクション攻撃を防いでいることを確認することは不可能です。

例としてフォームプラグインを見てみましょう。

フォーム プラグインに挿入された情報は、データベースに保存する前に、まず検証およびサニタイズする必要があります。

しかし、なぜ検証してサニタイズするのでしょうか?

データ検証:データが特定の形式で受信されることを保証します。 電話番号を受け入れるフォーム プラグインでは、訪問者が数字のみを挿入していることを確認する必要があります。

データのサニタイズ:必要以上に挿入しないようにします。 フォーム プラグインは、訪問者が 10 文字を超える文字を挿入することを制限する必要があります。

プラグインが訪問者の入力をチェックしていない場合、悪意のあるコードの文字列をフォームに簡単に挿入できます。

フォームはこのデータをデータベースに保存し、ハッカーがデータベースにアクセスできるようにします。

ほとんどの WordPress ユーザーにとって、サイトにインストールされているプラ​​グインまたはテーマがユーザー提供のデータを慎重にフィルタリングしているかどうかを知ることは不可能です.

とはいえ、今後の SQL インジェクション攻撃からサイトを確実に保護する方法はいくつかあります。 サイトを再感染から保護する方法の詳細については、このセクションにジャンプしてください。

サイトに対する SQL インジェクション攻撃の影響

SQL インジェクション攻撃が成功した場合の結果は醜いものです。 次の影響のいずれかまたはすべてが発生する可能性があります。

1.機密データの損失

Yahoo、Twitter、Adobe などでデータ侵害が発生し、何百万ものアカウントが侵害されたという話を聞いたことがあるでしょう。

あなたのサイトは Twitter ほど大きくはありませんが、機密情報が含まれており、盗まれた場合、信頼の侵害、評判の低下、さらには法的な影響などの深刻な問題につながる可能性があります。

e コマース Web サイトでは財務記録が盗まれる可能性があり、医療サイトでは健康記録が盗まれる可能性があります。

ハッカーは、これらの記録をオンラインで販売するか、身代金を要求するかを選択できます。

2. ウェブサイトのデータの損失

サイトが侵害された場合、ハッカーにとって最大の懸念は、捕まることです。

だからこそ、彼らは慎重に現場を駆け回り、静かに活動を行っています。

しかし、場合によっては、データベースに変更を加えてしまうこともあります。 それらは間違いであり、情報の一部を削除してしまう可能性があります。 または、Web サイトに損害を与えることを目的とする意図的な行為である可能性もあります。

その結果、Web サイトのコンテンツが失われます。

3. 信用失墜・名誉毀損

データ侵害は、顧客があなたのビジネスをどのように見ているか、そして彼らがあなたのビジネスに依存し続けたいかどうかに影響を与えます.

2018 年のケンブリッジ アナリティカのデータ侵害スキャンダルにより、人々は Facebook アカウントを削除するようになりました。

あなたが自分の健康や財務記録を守れなかったことを知った顧客は、あなたと取引したいとは思わないでしょう。

データの損失に対して法的責任を問われる可能性があり、それは間違いなくあなたの評判を傷つけます.

4. Google のブラックリスト登録とホスティングの停止

ハッカーは、捕まらないように最善を尽くします。 彼らは慎重かつ秘密裏に活動を続けています。

多くの場合、ハッキングの目に見える兆候はありません。 そのため、サイトがハッキングされていることに気付くまでに時間がかかる場合があります。

検索エンジンとホスティング サーバーは、WordPress サイトでの悪意のある活動をすぐに見つけ出します。 そして、彼らがそうするとき、彼らはあなたのサイトをすぐに中断して、自分のユーザーを保護し、彼らがあなたのサイトにアクセスできないようにします.

MalCare Security Scan & Clean で Google ブラックリストの警告を削除

5. 清掃費

ハッキングされたサイトをクリーンアップするのは簡単なことではありません。 手動ではできません。

頼ることができる専用のサービスがありますが、それは費用と時間がかかる問題です.

また、感染し続ける場合は、ピルの請求書をクリアするための深いポケットがあることを願っています.

幸いなことに、MalCare のようなセキュリティ サービスでは、1 つのサイトで年間 99 ドルで無制限のクリーンアップが提供されます。 まだお持ちでない場合は、MalCare の価格を確認してください。

サイトが再感染しないようにするにはどうすればよいですか?

プラグインまたはテーマの脆弱性が原因で、WordPress サイトがハッキングされました。

サイトをクリーンアップしたら、再感染を防ぐためにハッカーを阻止するための対策を講じる必要があります。

1.テーマとプラグインを慎重に選択する

サイトにテーマやプラグインをインストールする前に、ユーザーからのレビューを読んでください。

ツールが Web サイトのハッキングを引き起こす脆弱性を開発している場合は、使用しないでください。

よく構築されたツールは、脆弱性を頻繁に開発する可能性は低いです。

その場合でも、より良いバージョンを迅速にリリースする責任ある開発者グループによって維持されます。

これにより、ウェブサイトを安全に保つことができます。

2. ウェブサイトを最新の状態に保つ

テーマ、プラグイン、またはコアに脆弱性が存在するため、SQL インジェクション攻撃が成功します。

この脆弱性により、ハッカーが悪意のあるコードを Web サイトに挿入し、データベースにアクセスできるようになります。

このような脆弱性は、アップデートを適用することで修正できます。

開発者はツールの脆弱性を知ると、更新の形でパッチをリリースします。

この更新プログラムを適用すると、Web サイトは SQL インジェクション攻撃から保護されます。

テーマ、プラグイン、さらにはコアを最新の状態に保つことが重要です。

プロのヒント: WordPress の自動更新が有効になっていることを確認してください 2017 年に、WordPress は SQL の脆弱性にパッチを当てた更新プログラムを公開しました。 それでも、自動更新が無効になっているため、多くの Web サイトがハッキングされました。

3. データベース テーブルのプレフィックスを変更する

これにより、ハッカーがデータベースにアクセスすることが難しくなります。

どうやって?

データベースに「wp_」で始まるテーブルがあります

プレフィックスを変更すると、テーブルを見つけるのが難しくなります。

プロのヒント:最初のステップは、サイトのバックアップを取ることです。 この手順をスキップしないでください。 サイトのバックエンドを変更することは危険です。 何か問題が発生した場合は、サイトのコピーを頼りにすることができます。

> ホスティング アカウントから wp-config ファイルにアクセスします。

> ホスティング アカウントにログインして、 cPanel > File Managerに移動します。

> wp-config.phpファイルを見つけて開きます。

> 文より$table_prefix = 'wp_'; wp_ を別のものに置き換えます。 保存して終了。

データベースのプレフィックス wpconfig を変更する

4.ファイアウォールを使用する

ファイアウォールは、WordPress Web サイトをハッカーから保護します。

Web サイトにアクセスするすべての人を調査し、悪意のある活動の記録を持つ人をブロックします。

Astra Security のようなファイアウォールは、ユーザー入力を分析して、SQL インジェクション攻撃を検出および防止します。

MalCare を使用して Web サイトをクリーンアップした場合は、ファイアウォール プラグインのインストールについて心配する必要はありません。 MalCare ファイアウォールは、悪意のあるトラフィックを自動的にブロックします。

次は何?

WordPress Web サイトは、データベースといくつかのファイルで構成されています。

データベースと同様に、WordPress ファイルはハッキングの影響を受けやすくなっています。

ハッカーやボットから保護するための対策を講じる必要があります。 これを行うのに役立つガイドがあります– WordPress Webサイトを保護する方法.

多くのセキュリティ対策を講じることができますが、見逃せない 1 つのステップは、セキュリティ プラグインを使用することです。

MalCare のようなセキュリティ プラグインはサイトを毎日スキャンし、ハッキングされた場合はすぐに通知し、60 秒以内にサイトをクリーンアップして、今後のハッキング攻撃からサイトを確実に保護します。

MalCare セキュリティ プラグインでサイトを 24 時間 365 日保護