※ 本記事は広告を利用しています
ホームページの運用を戦略的に考えた時、まず初めに導入を検討するものとして、CMSがあります。
そして、機能性が高く誰でも簡単にホームページの導入ができるということで、代表的なCMSであるWordPressの導入にたどり着くのではないでしょうか。
WordPressはメリットが多い反面、デメリットもあります。その一つとして、多くの人に利用されている反面、多くの脆弱性も報告されているということです。
本記事ではWordPressの脅威に対抗するため、行っておきたい基本的な設定と、インストールしておきたいプラグインを紹介します。
いずれも、Wordpressの知識があれば、それほど労力をかけなくても比較的簡単に設定できる項目ばかりなので、設定してみてください。
少しの手間をかけるだけで、WordPressのセキュリティは飛躍的に高まりますよ。
目次
WordPressのセキュリティ対策の重要性
Woredpressの脆弱性や脅威についてですが、検索するとたくさん出てきます。そして、実際にどんな危険性があるのかわからないという方も多いのはないでしょうか。そのことが分からないと、対策も立てにくくなります。
WordPressの脅威としては大まかに言うと、以下のものがあげられます。
- サイト改ざんや乗っ取り、重要な情報の盗み取り(管理画面への不正ログインが主です)
- プログラムの脆弱性を狙った攻撃(SQLインジェクション・OSコマンドインジェクション・クロスサイトスクリプティング等)
- 許容を超える過剰なデータを送信することによる攻撃(バッファオーバーフロー攻撃)
WordPressは気軽に実装できる反面、こういったことを理解し、運用していなければなりません。
なぜWordPressが狙われるのか?
では、WordPressが狙われやすい理由をご紹介します。
下記をご確認ください。
- 利用しているユーザーが世界一なので、ターゲットになりやすい
- デフォルトで実装した際、管理画面のURLが決まっていて、構造がわかりやすい
- オープンソースで誰でも扱えるため、脆弱性が発見されやすい
簡単に解説していきます。
1、利用しているユーザーが世界一なので、ターゲットになりやすい
利用するユーザーが多いためターゲットになりやすい。単純に、使用者が少ないものを狙うよりも、たくさんのユーザーが使っているものを攻撃した方がターゲットして狙えるホームページがたくさんあるので、分母が多いので狙いやすい。
また、1つの脆弱性がみつかれば、それを利用しターゲットとすれば、攻撃者にとっては、非常に効率のよい攻撃対象がWordPressということになります。
WordPressは、現在、日本でのシェア「82.7%」世界シェアでは「60.2%」と、かなりのユーザーが使用しています。(2019年調べ)
<参考>
Distribution of content management systems among websites that use Japanese
2、デフォルトで実装した際、管理画面のURLが決まっていて、構造がわかりやすい
WordPressは実装時に、管理画面へログインするためのURLがどんな文字列になるのかは、構造がパターン化されており攻撃しやすいのも狙われる理由の1つです。
- デフォルト時の管理画面:/wp-login.php
こちらのままにしているホームページがほとんどですので、あとは、IDとPWさえあれば、ログインできる状態にあります。
3、オープンソースで誰でも扱えるため、脆弱性が発見されやすい
WordPressはプログラム(ソースコード)の詳細が一般公開された、いわゆるオープンソースであるため、脆弱性を見つけやすいという面もあります。
そして、脆弱性を発見することができれば、攻撃は容易に行うことができます。
対応策としては、「アップデートを定期的に行っていく」ということと、「できる対策は行う」ということですが、対策できているホームページは実に少ないように思います。
WordPressのメリット・デメリットをおさえておきましょう。
狙われやすいというのは、上記で説明した通りです。
WordPressは使いやすい一方で、このようなセキュリティリスクがある!というを理解しておきましょう。たがらこそ、バージョン管理やセキュリティ対策は必要なのです。
やっておくべきWordPressのセキュリティ設定5つ
では、WordPressを利用する際に、最低限おこなっておくべきセキュリティ対策は??
下記にまとめましたので、攻撃者の標的にならないようにするためにも、こちらに記載した対策は行えるのであれば行うようにしましょう。
管理画面へのユーザー名/パスワード強化
攻撃者に管理者アカウントで管理画面へ不正にログインされた場合、思うままに改ざんや乗っ取りが行われてしまいます。
回避するためにも、管理者アカウントは「admin」のように誰もが思いつくような単純なものにせず、パスワードも第三者に想像されにくいような文字列で作成し、定期的に変更することをこころがけましょう。
プログラムのアップデートはこまめに行う
WordPress本体のプログラムやインストールしたプラグインなどは、定期的にアップデートされます。
その理由としては、バグや不具合などがみつかり更新される場合や、セキュリティ上の問題が見つかると、都度アップデートされます。
そのまま放置しておくと、攻撃者の標的になりやすくなってしまいます。
更新があればできるだけ早くアップデートするようにし、最新に保つように心がけましょう。
- もし、分からない場合はホームページを制作してもらったところに聞く。
- ホームページ制作会社が対応してくれない場合は、保守してくれる会社を変えましょう。
もし、実装しているWordpressのバージョンが1年以上、前のバージョンであれば、かなり危険な状態ですので、そのような場合も早急に対策を考えましょう。
重要な設定ファイルにアクセスされないようにする
WordPressのプログラムには「wp-config.php」というファイルがあります。
これはWordPressの動作にかかわる各種設定が記載されているだけでなく、データベースのID・パスワードまで記載されている重要なファイルです。
このファイルを攻撃者に知られてしまうと、かなり危険です。
対応策としては、外部からアクセスできないようにすることです。方法としては、「ファイルの属性(パーミッション)」を400にすることが有効です。
パーミッション400とは、ファイルの所有者しか、そのファイルが読み込めないという権限です。
なお共用サーバーの場合など、パーミッションを400にすることができない場合もあるので注意してください。
その場合は、「wp-config.php」と同じディレクトリにある「.htaccess」というファイルへ以下文字列を追記することでも対策できます。
<files wp-config.php>
order allow,deny
deny from all
</files>
※ htaccessとは
ウェブサーバー(Apacheの場合)
において、ディレクトリごとの設定情報(アクセス制限、リダイレクトなど)をまとめておくファイルです。上記文字列を追記することによって、wp-config.phpに対して外部からアクセスできないようになります。 https://web.alfactory.co.jp/keywords/htaccess/
パーミッションの設定に加え、「.htaccess」両方の設定を行っておけば、よりセキュリティが高まります。
使用していないプラグインは削除する
プラグインにも脆弱性が存在します。
もし、使用していないプラグインなどがある場合は、削除しましょう。
使用していなくて、「OFF」にしているプラグインなど、そのままにしておくと攻撃者のターゲットにされてしまいます。
必ず、使っていないプログラムは放置せずに削除するようにしましょう。
プラグインを使って管理画面をさらに強化する
プラグインにより管理画面を攻撃者から守る対策は一般的に行われています。
自社で運用している場合などは、セキュリティプラグインなどを実装し、WordPressのセキュリティを上げましょう。
WordPressのセキュリティを強化するおすすめプラグイン(2020最新版)
弊社で、おすすめしているプラグインは下記です。
SiteGuard WP Plugin
WordPressの管理画面を守る強力なプラグインです。
こちらでは、詳細は説明しませんが、「ログインするためのURLの変更」「ログイン時に画像認証を追加」「一定回数ログインに失敗するとその接続元からログインを試行できなくなる」など様々な設定を行えます。メイドインジャパンのプラグインですので、設定項目が全て日本語で、使いやすいのも魅力です。
【セキュリティ対策】WordPressプラグイン「SiteGuard WP Plugin」の設定方法について
Backup Guard
WordPressで制作したホームページのバックアップが定期的に行えるプラグインです。
仮に攻撃者によってホームページが改ざんされたり、削除されたりしてもこのプラグインによってバックアップを取っておけば、元の状態に回復することができますので、入れておくと便利です。
WordPressプラグイン「BackWPup」の設定方法・使い方について
まとめ
ここで紹介した簡単な設定によって多くの攻撃を防御することができるようになります。
逆にきちんと設定しておかないと、攻撃者にとっては都合のよいターゲットになってしまいますので、WordPressを利用する際は、必ず、バージョン管理や最低限のセキュリティ対策を行っておき、セキュアな状態で利用するようにしましょう。
WordPressにまつわる、こんな「悩み」や「不安」はございませんか??
WordPressは利便性が高い反面、しっかりとした運営がなされなければ、残念ながらさまざまなセキュリティリスクと隣り合わせです。
オープンソースということもあり、様々なホームページ制作会社でWordPressを使ったホームページ制作を取り扱っていますが、WordPressでホームページを実装し、「バージョンアップを行わないでください」というような業者、または「完成後はクライアント様側で対応を行ってください」などで済ませるような業者もいます。
弊社へのお問い合わせの多くは、自社のホームページがWordPressで構築されているものの、下記のような理由でアップデートできていない。アップデートに対応してもらえていないというような内容です。
- バージョンアップを行ってないのでセキュリティが心配
- 気が付かないうちにホームページが見られなくなった…
- サーバー会社のバックアップは契約してるけど、復元の方法がわからない
- ホームページ制作会社と上手く連携できておらず、バージョンアップできない
- 社内にWordPressに詳しいものがいなくて、外部に任せたい
- バージョンアップの頻度が多くて毎回アップデートできない
- ホームページの保守管理をできるものがいない
もし、上記のような「悩み」や「不安」がある場合は、是非、ご相談ください。
