【ワードプレス】その遅さ、サイバー攻撃かも?サイトが重くなる理由

【ワードプレス】その遅さ、サイバー攻撃かも?サイトが重くなる理由

いつもアクセスしているサイトが、突然重くなった、アクセスできなくなった…という経験はありませんか?

もしくは、最近自分のサイトが重くて、中身を見てみると、海外からのアクセスが、急激に増えていることに気付いた…なんてことはありませんか?

あなたのサイト、知らぬ間にサイバー攻撃に遭っている可能性が考えられます!

現に、ワードプレスは2018年12月以前からサーバーへの攻撃が始まっており、とても他人事ではないのです。

今回はサイバー攻撃とはどのようなものか、その対策はどのようにしたら良いのか、解説していきます。

過剰にアクセスする攻撃DoS/DDoS攻撃

サーバーを攻撃する方法の中に、DoS攻撃と、その進化版DDoS攻撃という方法があります。

DoS攻撃とは「Denial of Service attack」の略で、訳すと「サービス拒否型攻撃」、DDoS攻撃とは「Distributed Denial of Service attack」の略で、「分散型のサービス拒否型攻撃」という具合になります。

割とアナログ手法なDoS攻撃

DoS攻撃は大きく二つに分かれます。

大量のデータの送り付けを行う、フラッド型と呼ばれる攻撃パターンと、サーバー側に不正処理を行わせてサービスを停止させる、脆弱型と呼ばれるものがあります。

また、かなり古典的な方法としては、サイトでF5キーを連打する「F5攻撃」という攻撃方法があります。

F5キーを連打するだけで、サーバーへ何度もアクセス要求ができるので、手軽にサーバーに負荷を与えられるのです。

IP分散やマルウェアを使ったDDoS攻撃

DDoS攻撃とは、複数のコンピュータを不正に乗っ取って、それによって得られた、たくさんのIPを悪用して攻撃する方法です。

海外サーバーを経由して攻撃されることが多く、現在の攻撃のほとんどはDDoS攻撃だと認識して良いでしょう。

サーバーに高負荷をかけてダウンさせるのが目的

一定時間に、たくさんのアクセス要求がサーバーに来るので、サーバーへの負担はかなり大きくなります。

サーバーの許容量以上にアクセスが合った場合、サイトへのアクセスが遅くなるどころか、サイトが落ちてしまうのです。

もしも知らぬ間に攻撃を受けていて、気付いたらサーバーダウンになってしまったら、どのようにしたら良いのでしょうか?…復旧しようにも、その対策がわからない限り、慌ててもどうにもなりません。

実際に遭遇して焦らずに済むように、日頃から対策をしておきましょう。

DoS攻撃の対策はWAFとアクセス監視


ここからはDoS攻撃/DDoS攻撃の対策についてお話していきます。サーバーを攻撃から守るには、WAFの導入という方法やアクセスの監視が鍵となってきます。

2019年現在、ワードプレス公式サイトでは、DoS攻撃に対応するような修正パッチは配布されていないので、自力で戦うしかありません。

ワードプレスには、プラグインで制御機能を追加することが可能になっており、初心者にとってはかなり重宝する機能ですが、プラグインでの制御には賛否両論があることも、頭の片隅にいれておきましょう。

不審なアクセスは自動or手動でブロック

アクセスやエラー、負荷などのログを定期的にチェックすることで、不審なアクセスを察知出来るようになります。

その過程で不審なアクセスを見つけたら、地道にブロックしていくのもひとつの方法です。

サーバーのWAFや海外アクセス制限機能が役立つ

最も簡単な方法は、WAF(ワフ)と呼ばれるセキュリティツールを導入する方法です。サイバー攻撃からサーバーを守る最高の手段とも言われています。高価なイメージでしたが、最近は安価になり、導入へのハードルが下がりました。

また、ワードプレスのダッシュボードから、不審なIPに対して、アクセス制限をかけるというのも良い方法です。

制限すべきIPアドレスを指定するためには、webサーバーの設定を部分的にカスタマイズできる、「.htaccess」という設定ファイルにコードを追記する必要があります。

「.htaccess」に追記することによって、他人による管理画面へのアクセスを防御出来るようになります。

尚、「.htaccess」は非常に重要なデータなので、必ずバックアップをとってから触りましょう。

ワードプレスは、その管理画面がインターネット上に存在しているので、比較的乗っ取りやすい環境になってしまっています。だからこそ、アクセス制御は前もって行うべきなのです。

先ほども言ったようにDoS攻撃は、海外サーバーからの攻撃が多いので、海外からのアクセスをあらかじめ制限するだけでも、その後のサイト運営をかなりスムーズにしてくれるでしょう。

ただしGoogleなどのように、海外の検索エンジンも海外にサーバーが置かれています。

そのような検索エンジンにはアクセス許可をする必要があり、海外居住の日本人の存在も考慮しつつ、アクセス制限を行う必要があります。

これらを考慮して、海外の不正アクセスの制限は下記の三項目に絞ることをおすすめします。

  1. 「wp-cron.php(予約投稿や自動アップデート確認などができる機能)」
  2. 「xmlrpc.php(記事のデータ更新を検索エンジンにお知らせするもの)」
  3. 「wp-login.php(ログイン用のファイル)」

攻撃者を特定して元から叩く【警察・弁護士の介入が必要】

悪質なサイバー攻撃を仕掛けてくる人に対しては、法的措置も考慮しなければなりません。

発信者開示請求を行って身元を特定し、損害賠償請求をすることになるでしょう。その際にはサイバー犯罪に強い弁護士を探すことは、とても重要です。

サイバー攻撃は日々進化しています。オンライン上に管理画面があるワードプレスは、常に狙われる存在であることを、忘れてはいけません。

情報漏えいや運用困難などのような、重大なトラブルを防ぐためにも、必要な準備は怠らないようにしたいものですね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA