こんにちは。「クロジカサーバー管理」 IT/テックライターのkait78です。
企業のホームページにとって、セキュリティ対策は重要な課題の1つです。企業ホームぺージで利用されることが多いCMS(Contents Management System)としてWordPressがあります。WordPressのセキュリティ対策は、適切な対策を取らないと大きな被害を受ける可能性があります。そこで本記事では、WordPressのセキュリティ対策についてエンジニアでない人にも分かりやすく解説します。
WordPressのセキュリティ対策の必要性
WordPressは、シェアNo.1であり、世界中で多くのユーザーに利用されているオープンソースのCMSです。そのため、プラグインを含め多数の脆弱性が日々発見されています。
これにより、悪意のある攻撃者による攻撃を受けるリスクが高くなっています。WordPressのセキュリティ対策を行わない場合、攻撃者によってウイルスや不正アクセスを受けることがあります。その結果、サイトが乗っ取られたり、個人情報が盗まれたりすることがあります。
2021年1月〜2021年12月の1年で深刻度(CVSSv3)が、10段階中で7以上のものが105件発生しています。WordPressでは脆弱性対策は不可欠と言えます。
WordPressのセキュリティ対策の種類
WordPressのセキュリティ対策は大きく3つあります。
- 脆弱性対応
- 認証
- WordPress設定
それぞれご紹介します。次の章では、具体的な対応策もご紹介します。
脆弱性対応
WordPressは、オープンソースのコードを利用しています。これらの外部コードには脆弱性がある場合があります。攻撃者は、その脆弱性を突いて不正アクセスを行うことがあります。
脆弱性を狙った攻撃は利用しているWordPress本体やプラグイン・テーマに依存するため、インストールや有効化をした時点で攻撃対象となります。
脆弱性対応はWordPress本体のバージョンアップやプラグイン・テーマの選定とバージョンアップにより対応します。
認証
認証とは、IDやパスワードなどの認証情報を使って、正当なユーザーであることを確認することです。攻撃者は、WordPressのIDやパスワードを辞書攻撃など総当たりで取得する場合や、フィッシング攻撃のように似せたサイトで利用者からID・パスワードを取得する方法があります。
2013年にWordPressのデフォルトのユーザーIDである「admin」を利用したブルートフォース(総当り)攻撃が発生しました。IDが「admin」の場合は残るセキュリティはパスワードのみとなってしまい、総当たり攻撃でパスワードも突破されWordPressに不正ログインされた事件です。世界中で被害が出て、1日平均7万7000件、数日間で10万件強へと被害が急増しました。
WordPressの認証対策は、IDやパスワードの設定や、ユーザーの権限設定を行うことで対策できます。
WordPress設定による対策
WordPressの設定を工夫することで、セキュリティリスクを軽減することができます。WordPressはCMSとしても扱いやすく、簡単にセキュリティ設定可能です。
WordPressセキュリティ対策
脆弱性対応のため最新バージョンへアップデート
WordPressのセキュリティ対策には、常に最新バージョンへのアップデートが欠かせません。WordPressの最新バージョンには、脆弱性や不具合が修正されており、攻撃を受けるリスクを低減することができます。そのため、定期的にアップデートを行いましょう。
2023年5月時点でのWordPressの最新バージョンは6.1となっています。
プラグインやテーマも提供している会社や団体により日々バージョンがアップデートされているはずです。こちらも定期的にアップデートを行いましょう。
自動アップデート
自動アップデートは自動バックグラウンド更新機能を使って、自動的にアップデートを行い、脆弱性を解消して防御する方法です。
メリットとして、アップデートの手間を省くことができます。
デメリットとしては、管理者がアップデートに気が付かずに突然動作の不具合が発生する場合があります。
手動アップデート
手動アップデートは、自動バックグラウンド更新機能をオフにし、管理者が任意にアップデート作業を行い、脆弱性を解消して防御する方法です。
メリットとして、アップデートのタイミングを操作できるため事前に動作不具合が発生するか調査することができます。
デメリットとして、アップデートのリリースやバージョンの依存関係情報を把握する必要があるため、相応の時間とスキルが必要です。
アップデートの注意点
WordPressの依存関係として、プラグイン、WordPress、PHP、MySQLの4つの関係があります。
それぞれがバージョン同士で依存しており、上記いずれかが低いバージョンを利用している場合や、いずれか1つだけをバージョンアップすると正常な動作をしない場合があります。
WordPressはPHPというプログラミング言語で動いています。PHPにもバージョンがあり、PHP5とPHP8ではプログラミング言語の構造がかなり変わっています。
PHP5はWordPress4.0-4.6が推奨、PHP8はWordPress5.6以上のバージョンでないと動作が保証されていません。アップデートする場合は依存関係について調査やホームページの開発環境があれば検証が必要です。
また、アップデートをしても完全にセキュリティが確保されるわけではありません。
ゼロデイ攻撃のように、新しいバージョンが公開されて直ぐに脆弱性が発見され、その情報公開や対策が講じられる前に、その脆弱性を狙う攻撃方法があります。
アップデートだけでなく多方面で対策が必要です。
認証
WordPressのセキュリティ対策には、強固な認証が必要です。認証には、ID/パスワードの設定やユーザー設定があります。
ID/パスワード設定
ID/パスワードの設定は、WordPressのアクセス制限を設定する最も基本的な方法です。IDはデフォルトのものから必ず変更し、パスワードは定期的に変更することが必要です。
ユーザー設定
WordPressには、複数のユーザーアカウントを設定することができます。それぞれのユーザーアカウントには、権限が与えられており、管理者や編集者など、それぞれの役割に応じた権限を持つことができます。
編集者には投稿やページの編集権限はありますが、プラグインのインストールやテーマ変更の権限はありません。編集者のID/パスワードが流出した場合も被害を最小限に抑えることができます。
WordPress設定による対策
WordPressの設定を工夫することで、セキュリティリスクを軽減することができます。以下に、WordPress設定による対策方法を紹介します。
ログインURL変更
WordPressでは、デフォルトのログインURLが「https://xxxx.com/wp-login.php」となります。攻撃したいサイトの語尾に「/wp-login.php」をつけるだけでログイン画面に入ることができます。攻撃者はこのURLを狙って、パスワードを総当たりで破ろうとすることがあります。そのため、ログインURLを変更することで、攻撃者からの攻撃を防ぐことができます。
プラグインを利用すれば、簡単にログインURLを変更することができます。
ログイン失敗回数の制限
攻撃者は、総当たり攻撃を行い、パスワードを当てることを試みます。しかし、ログイン回数に制限をかけることで、攻撃者がパスワードを当てるのを難しくすることができます。WordPressには、ログイン失敗回数を制限するためのプラグインがありますので、利用してみてください。
画像認証機能
画像認証機能は、ボットによる攻撃を防止するために有効な対策方法です。画像認証機能を導入すれば、スパムコメントや、不正ログイン試行などの被害を防ぐことができます。プラグインを利用すれば、簡単に導入することができます。
もし自社のWordPressが攻撃されたら
万が一、自社のWordPressサイトが攻撃された場合、どのように対処すればいいのでしょうか。以下に、攻撃された場合の対処方法を紹介します。
バックアップによる復元
攻撃された場合、まずは攻撃前の状態に戻すことが大切です。この場合、バックアップからサイトを復元することが有効です。バックアップがない場合、被害を最小限に抑えるために、攻撃された箇所だけを修正することも可能ですが、セキュリティ対策としては推奨されません。
ログ調査
攻撃された場合、ログを調査することで攻撃の手口や攻撃者の情報を取得することができます。ログには攻撃が起こった日時、攻撃方法、アクセス元IPアドレスなどの情報が記録されています。これらの情報をもとに、対策を講じることができます。
再度セキュリティ対策
攻撃された場合は、再度セキュリティ対策を行うことが必要です。攻撃された原因を特定し、その原因を取り除くことが重要です。攻撃を受けた後、調査でWordPressを最新バージョンでないことが判明した場合はアップデートすることも忘れないようにしましょう。
おわりに
WordPressのセキュリティ対策は、企業にとって非常に重要な課題です。セキュリティ対策を怠ることで、重大な被害を受ける可能性があります。適切な対策を行うことで、セキュリティリスクを最小限に抑えることができます。
しかし、セキュリティ対策には専門的な知識と時間が必要になります。ホームページ管理者はサイト運営に集中できるよう、サイト向けクラウド構築・運用サービスを活用という方法もあります。
サーバー管理のアウトソーシングなら「クロジカサーバー管理」
今回はシェアNo.1のCMSであるWordPressのセキュリティ対策についてお伝えいたしました。「クロジカサーバー管理」では、ホームページのサーバー管理に特化しており、オンプレミスやレンタルサーバーの環境からクラウドへの乗り替えをはじめ、脆弱性への対応やバックアップ、障害時の一次復旧など月々の運用保守をすべてお任せいただけます。
ホームページの規模感や用途に合わせて、セキュアで安定したクラウド環境をご提供しますので、お気軽にお問い合わせください。
ライター:kait78
元大手通信事業者のインフラエンジニア。ネットワーク・サーバー・AWS領域でIT/テック記事に特化した記事を執筆。Webサーバーにまつわる課題や悩みに対して実務経験を基にした、現場社員目線の課題解決となるアイデアを提供します。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
