1 FTPパスワードなどの脆弱性を狙うパターン

ホームページを更新する際に使用するFTPのID/パスワードを盗み出して悪用するパターンです。
英数字などで構成されるFTPのID/パスワードに対し、いわゆる「総当り攻撃」でさまざまな組み合わせを試行します。
そのときに、辞書に掲載されていそうな単語や、IDと同じパスワードを設定していると、簡単に盗み出されてしまいます。
また、メールによるマルウェア感染で、FTPのパスワードが流出してしまう場合もあります。
盗み出されたパスワードは、攻撃者によって自由に使われてしまい、結果としてホームページが改ざんされてしまいます。

2 Webアプリケーションの脆弱性を狙うパターン

WordPressやEC-CUBEなど、PHPなどのプログラムからデータベースに接続するWEBアプリケーションの脆弱性を悪用するパターンです。
「クロスサイトスクリプティング」「SQLインジェクション」などもこちらに含まれ、攻撃者がホームページに対して悪意のあるスクリプトを埋め込んだり、データベースに接続して不正に操作するなど、危険性の高いものが数多くあります。
特にECサイトなどには、データベースにお客様の個人情報が含まれていることが多く、情報漏えいなどで一気に被害が拡大します。

1 ホームページの改ざんをいち早く検知する

もしホームページが改ざんされてしまったら、管理者がすぐにそれを察知し、対応までをスピーディーに行うことが重要です。
「WEB改ざん検知」はホームページの不正な改ざんを監視し、異常があればすぐに管理者に通報するサービスです。
不正な改ざんが検知された場合は、自動的に安全なページへの書き換えを含めた応急処置を行うため、被害の拡大を防ぐことができます。

2 セキュリティの高いパスワードを設定する

FTPのパスワードには、できるだけ多くの文字数や、大文字小文字や記号のランダムな組み合わせなど、推測されにくいものを設定しておきましょう。

3 WEBアプリケーションの更新を行う

WordPressやEC-CUBEなど、WEBアプリケーションは脆弱性が見つかった場合、更新プログラムをリリースしています。
公式サイトなどで更新プログラムの情報をいち早く察知し、迅速に適用することが重要になります。

4　ファイアウォールを設定する

ファイアウォールとは、外部/内部のネットワークの境界で「防火壁」の役割を果たします。
ハッキングのような不正アクセスなど、あらかじめ登録されたパターンから外れる通信は、ファイアウォールが断してくれますので、大きな効果が期待できます。

ガンブラー(Gumblar)ウイルスなどのマルウェア、悪意のあるスクリプトの埋め込みなど、ホームページの不正な改ざんを監視、通報するサービス。
不正改ざんの検知時は自動的に応急処置をするため、被害の拡大を防ぐことができます。

ハッカーによる不正アクセスなど、定められた基準から外れる通信だとファイアウォールが判断すれば、内部へ進入されるまえに通信自体を遮断します。
不正アクセス対策の一環として、設定しておいて損はありません。