WordPressホスティングのセキュリティ神話を暴く

WordPressのホスティングは複雑です。 すべてのWordPressサイトは、外部から理解するのが難しい標準と価値を持つ企業やコミュニティによって作成されたソフトウェアとハ​​ードウェアのスタックに依存しています。 これは、特にセキュリティが懸念される場合に、誤解や神話を引き起こします。
この記事では、セキュリティミスにつながる神話に特に焦点を当てて、最も悪質なWordPressホスティング神話のいくつかを見ていきます。

小さなサイトはハッキングされません

メディアは、攻撃者の目標が明白であると思われる重大なセキュリティ違反について報告することがよくあります。 被害者は、個人情報の盗難に使用できるギガバイトの個人データを保存します。 多くの店のクレジットカード番号は、明らかな理由で盗まれています。 一部の攻撃者は産業スパイに従事しています。
少数のユーザーアカウントを持つ小規模なWebサイトには、そのどれも当てはまりません。そこにはあまり有用な個人データはありません。 彼らはクレジットカード番号を保存することはめったになく、賢明には支払い処理業者を使用することを選択します。 では、なぜ犯罪者は小さなサイトをハッキングするための努力を投資するのでしょうか？
まず、それはそれほどの努力ではありません。 ほとんどのハッキングは自動化されています。ボットは脆弱なサイトを探してWebをトロールし、事前にプログラムされた攻撃でサイトを危険にさらします。 攻撃者はボットを解放し、IPアドレスがロールインするのを待ちます。
第二に、小さなサイトでも価値があります。 マルウェアに感染する可能性のあるオーディエンスがいます。 攻撃者のボットネットに引きずり込まれ、他のサイトを侵害したり、DDoS攻撃に参加したりするために使用される可能性があります。 SEOスパムに使用できます。 すべてのWebサイトは、帯域幅、ストレージ、および処理能力のパッケージを表しています。これらはすべて、犯罪者にとって有用です。

それが機能する場合、なぜアップグレードするのですか？

画面上のコードを見つめて一生を費やさない人々は、テクノロジーが本来あるべきことを実行するときに非常に満足しています。 彼らは、変化をもたらす更新は、歓迎されない混乱であると感じるかもしれません。 WordPressを学ぶのは難しいことではありませんが、変更の考えが何百万ものユーザーの何人かを心配するほど難しいです。
毎日WordPressを使う人はそれに慣れてきます。 彼らは変更のために変更を避けることを好むので、彼らはしばしば更新することを躊躇します。 結局のところ、なぜ機能するものを変更するのですか。
これに対する開発者の答えは2つあります。 ソフトウェアは決して静止することはなく、世界の変化に対応するために変更する必要があります。 そして、さらに重要なことに、アップデートはセキュリティの脆弱性を引き起こすバグを修正します。 数か月間更新されていないサイトは、ほぼ確実に脆弱です。 前のセクションでは、ボットネットと自動ハッキングについて説明しました。 これらのボットが求めるのは、パッチが適用されていないコンテンツ管理システムです。 最終的に、彼らはパッチが適用されていないサイトを見つけ、それがハッキングされるでしょう。

問題があったかどうかわかります

ハッキングされたWebサイトはどのように見えますか？ ほとんどの場合、ハッキングされていないWebサイトのように見えます—特にその所有者にとっては。 すでに説明したように、悪意のある攻撃者は、データ、リソース、訪問者、またはSEOの可能性を求めているため、Webサイトに侵入します。 サイトの所有者がハッキングされていることに気付いた場合、悪意のある人物はそれらのリソースにアクセスできなくなります。 だから、彼らは卑劣です。 彼らは隠れようとします。
よく見ると、帯域幅やメモリ使用量の急増に気付くかもしれません。 マルウェアを定期的にスキャンすると、悪意のあるコードが見つかる可能性があります。 しかし、このサイトを通常どおりに使用している場合は、何かがおかしいとは思わないでしょう。
例としてSEOスパムを取り上げます。 サイトが危険にさらされると、攻撃者が宣伝したいサイトへのリンクがそのコンテンツに挿入されます。 これらのリンクはGoogleに表示され、通常の訪問者には表示される可能性がありますが、サイトにログインしているユーザーには表示されません。
そのため、 SucuriやWordfenceなどのツールを使用してサイトを定期的にスキャンすることをお勧めします。 彼らは悪意のあるコードを見つけてあなたに知らせます。 スキャンしないと、Googleがサイトが安全でないことを視聴者に警告し始めたときに、攻撃について知る可能性が高くなります。

SSLはあなたのサイトを安全に保ちます

SSL証明書には2つの役割があります。 これらは、ネットワーク上をサーバーからブラウザに移動し、また戻ってくるデータを暗号化します。 また、ブラウザは、期待するホストに接続されていることを確認するために使用されます。 SSL証明書が行うのはこれだけです。 これらは不可欠なセキュリティおよびプライバシーツールですが、サイトのサーバーに保存されているデータを保護しません。 また、脆弱性を悪用しようとする攻撃者からサイトを保護することもありません。

すべてのWordPressプラグインは無料です

これは、マルウェアに感染したプラグインをダウンロードするという悪質な神話です。 ほとんどのWordPressプラグインは、GPLライセンスの下でオープンソースになっています。 開発者がプラグインを配布すると、ソースコードも配布されます。 彼らはライセンスによってそうすることを要求されます。
多くの場合、オープンソースソフトウェアは無料です。 使用するのにお金はかかりません。 WordPress自体はオープンソースで無料です。 ただし、一部のオープンソースソフトウェアは無料で使用できません。 プレミアムWordPressプラグインはこのカテゴリに含まれます。これらはオープンソースですが、開発者はユーザーがプラグインを使用するためにライセンス料を支払うことを期待しています。
ユーザーが料金を支払うと、必要に応じてソースコードを取得します。 しかし、オープンソースは、開発者がすべての人にソースコードを提供しなければならないという意味ではありません。プラグインが配布された人、支払った人だけです。 これは一般的に誤解されています。 プレミアムテーマのコードを取得して、支払いが済んだら無料で配布することは完全に合法ですが、WordPressコミュニティでは、明らかな理由から、これは推奨されていません。
これがセキュリティと何の関係があるのか​​疑問に思われるかもしれません。 悪意のある人物は、人々がお金を払わずにプレミアムプラグインを使いたいと思っていることを知っています。 それで、彼らはプラグインを取り、マルウェアをまき散らして追加し、それを無料で提供します。 これらの「null」または「海賊」プラグインには、バックドアやその他の悪意のあるコードが含まれています。 疑いを持たないWordPressユーザーがヌルのプラグインをインストールすると、攻撃者にサイトの制御を与えます。 あなたのサイトに海賊プラグインをインストールすることは悪い考えです。
この投稿では、5つの一般的なWordPressホスティングの神話を取り上げましたが、さらに多くの神話が含まれている可能性があります。 WordPressホスティングの神話をさらに掘り下げたフォローアップ投稿をご覧になりたい場合は、コメントでお知らせください。