こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
便利なCMSツールとして広く知られているWordPressですが、セキュリティ面で被害に繋がるリスクも存在しています。現在、WordPressを活用されている、またはこれから活用を予定しているがセキュリティ対策に不安がある方向けにセキュリティの強化方法について触れていきます。
Webサイトにまつわるセキュリティで最低限注意しておきたい、
最新のサイバー攻撃手法と対応する防御策について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「サイバー攻撃の最新手法と防御策とは?〜事例とあわせて解説〜」
目次
WordPressのセキュリティは脆弱?
WordPressは、脆弱なセキュリティ面がデメリットとして挙げられます。とくに以下の3つは、WordPressの弱点といっても過言ではありません。
- 誰でも課金なく活用可能なため安全性に欠ける点
- 認知度があり世界中の人が活用するプラットフォームである点
- 汎用性の高いプラットフォームとして広く活用されている点
WordPressは、個人の活用から政府関連のウェブサイト制作にまで活用され、CMS最大のシェアを誇っている反面、多くの顧客を抱えているためサイバー攻撃などの標的になりやすいと言えます。また、Webサイトのソースコードを覗くと、どのようなプログラム構造であるかがわかります。プログラム構造を把握すれば、どの部分に弱点があるか特定できますし、攻撃されるリスクが高まります。認知度が高い中で操作性も全てが同じであるため弱い箇所を見抜かれやすくなります。
WordPressの脆弱性が及ぼすリスク
WordPressは、不公平を無くして世界中の人が協力しあい、最良のコンテンツを創作する!ということをコンセプトにした構造です。ネット環境とパソコンがあれば、高品質なツールを誰でも利用することができる。それがWordPressの特徴です。本来、課金型のCMSの場合は、サイト内のプログラミング構造を覗くことができない仕組みになっています。しかし、WordPressは世界中のプログラマーが最良のコンテンツの作るため、日々改良を重ねて利便性を追求しているので、すべてオープンソース。誰でも簡単に使えるからこそ脆弱な部分が存在します。では、これらの危険性を軽減するためには、どのような対策をとれば良いのでしょうか?事例とともに触れていきます。
WordPressのセキュリティが攻撃された事例
プラグインを狙った事例
プラグインを狙った有名な事例として、3年前に起きた事件があります。サイバー攻撃を受けて被害に遭ったWebページが開かれると、自動的に悪質犯罪ページに誘導されるといった事例です。プラグイン内に自動システムがプログラミングされてしまった為、業務に多大なる影響がでました。
大量メール送信プログラムへの攻撃事例
メール送信プログラムが埋め込まれるという事例です。WordPressの脆弱なポイントを狙い、不正なプログラムファイルで埋め尽くすサイバー攻撃です。このサイバー攻撃は被害規模が非常に大きかったため、被害処理に約20日前後もの時間がかかりました。ただ、不幸中の幸いで、タイミング良くWebサイトの大元がセキュリティチェックを行なっていた幸運も重なり、悪因子システムを早期発見してくれたお陰で、迷惑メールを多数者に対して送らずに済んだ事例でもあります。
WordPressのセキュリティ診断と強化
セキュリティ診断
セキュリティ診断は、調査し脆弱性やハッキング攻撃など、さまざまなセキュリティリスクを洗い出すサービスです。セキュリティ診断のサービスをいくつか紹介します。
Wordfence Security
WordfenceSecurityは、使用しているWordPressの全体的な安全性を高めるツールです。ダウンロード後にスキャンを行うと、自動で調査をスタートし異常があった場合は知らせるツールです。
WPdoctor
WPdoctorは、WordPressの安全性をオンラインで調査するツールです。調査方法は、調べたいWebサイトのリンクを入力後に調査を開始を選択するのだけです。調査ツールによっては外国語での説明書きツールも存在しますが、WPdoctorに関しては、日本語対応で利用が可能です。
WPScans.com
WPScans.comは、オリジナル規定に沿って該当ページが危険にさらされていないかを診断してくれるプラットフォームになります。診断してほしいページのリンクを入力した後にスタートボタンを押せば、現在の危険度を詳しく見てくれます。
WordPressのセキュリティ強化方法
ユーザー名&パスワードの強化
WordPressの安全性が低い特徴として、最初のモニター段階においてのハンドル名と利用者名が一致してしまっている状態です。別々に分けてしまうと、いざという時に混乱し、忘れてしまいそうになる気持ちがあるかと思いますが、ハンドル名と利用者名はきっちりと分けて利用します。心配な方は、パスワードマネージャーなどのサポートアプリを活用することも選択肢のひとつです。また、WordPressのみならず、全てのコンテンツにおいて共通して言えることですが、パスワードは周期を見ながら都度更新するのが理想です。
プログラムの最新化
WordPress運用を行うことにより、頻繁にプラグイン箇所などに最新情報を通知してくれる更新マークが記載されるので、更新することが問題ないことを確認した上で、WordPressを最新の状態に保っておきます。このプログラムの最新化により、WordPress運用で活用する安全性を守ってくれるさまざまなツールのパフォーマンスが向上して、WordPressの安全性が高まります。
不要なプラグインの削除
WordPress運用歴が長くなると、現在活用していないツールですら危険なサイバー攻撃の標的になってしまうので、こちらも都度、最新の状態に保っておくか、今後も利用予定のないモノなのであれば、消去しておくと安全性が高まります。
セキュリティに特化したプラグインの導入
WordPress運用に欠かせない安全性を向上させてくれるツールは、使いやすい追加料金のかからないツールも存在します。WordPress運用を利用者が安心・安全に行なっていくためのツールとして、安全性を高めるための、シンプルな操作性を実現したツールが多数取り揃えられております。WordPress運用開始後は、まず最初の手順として安全性を向上させるためのプラグインを活用して有効化しておくと安心です。
重要ファイルにアクセス制限
WordPress運用をしていく上で、重要なファイルに「wp-config.php」が存在します。wp-config.phpは、安全性を求めるのに重要なパスワードや、WordPress運用に必要なプログラミング情報が多く書かれています。この重要な情報の流出を防ぐために、データの管理者のみが開示可能な状態にするために、該当データタイプを400に設定することや、タイプの400への変更が不可能なケースは都度対処します。wp-config.phpを悪質に確認されないように関係者以外が関与することが不可能な対策を講じておきます。
さいごに
WordPressセキュリティの重要性
WordPressのセキュリティ強化方法について触れてきました。上述でご紹介した各種対策を講じることにより、WordPress運用はさらなる利便性アップを可能とした汎用性の高いツールへとなり得ます。WordPress運用に際しては、データのバックアップ管理やサイバー攻撃の標的にされそうな時は自動で怪しい関与をシャットアウトする優良なサービスが存在します。外部の代行を行う会社にアウトソースすることも選択肢のひとつです。運用に最適なサポート体制でフォローしてくれるのでスムーズに利用することができます。WordPressの環境やセキュリティにおいて、不安や相談したいなどがあれば、まずは診断や問い合わせしてみることをお勧めします。本稿が見直しのきっかけになれば幸いです。
Webサイトにまつわるセキュリティで最低限注意しておきたい、
最新のサイバー攻撃手法と対応する防御策について要点をまとめた図解解説はこちら
(無料公開中)ホワイトペーパー
「サイバー攻撃の最新手法と防御策とは?〜事例とあわせて解説〜」
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ