WordPressのセキュリティ対策基本ガイド:攻撃を最小限に防ぐための実践的アドバイス

ブログ
2023.10.22

突然ですが最近のニュース、ご覧になりましたか?

公式サイトに「破産した」の偽情報 改ざんの被害続々 研修施設、コンサルなどで
公式Webサイトが改ざんされ「破産した」などの偽情報を載せられたとする被害の報告が相次いでいる。いずれも実際には破産しておらず、被害の確認・調査を進めている。被害の関連性は不明。
www.itmedia.co.jp

ニュースの内容は数社の公式サイトが「破産しました」という偽の情報で改ざんされてしまったそうです。驚きのニュースですよね。まさかの有名な企業まで被害に遭われているとは…。

こんな状況ですから、私たちも自身のサイトのセキュリティに目を向けなければならないと感じます。特に、上記のうち4つにはWordPressが入っていたので、WordPressご利用の方は「私のサイトも大丈夫かな?」と心配になることでしょう。

WordPressはセキュリティが不安・・・

WordPressのセキュリティ対策を知りたい・・・

危険と言うけど、 実際どう危険なのか知りたい

WordPressは使っちゃいけないの?

このようなお悩み・不安はないでしょうか…?

しかし、ご安心ください。WordPressでのリスクや狙われやすい部分、実は基本的な対策で回避できるものが多いのです。知識を身につけることで、簡単に対策が取れます。今回は、その基本的なセキュリティ対策の3つをご紹介いたします。

一緒に、WordPressをより安全にご利用いただけるよう努力しましょう!

WordPressとは?(WordPressがわからない人向け)

特徴として、WordPressは

  • 世界で最も広く利用されているCMSです。
  • 非営利団体が管理しているオープンソースですので、無料で使用でき、また誰でも開発することが可能です。
  • 基本的には決まったパッケージを元に、ユーザーが自分の好みにカスタマイズして使用します。
  • 【メリット】世界中で数多くの開発者が関わっているため、新しい機能やプラグインが次々と提供されています。
  • 【デメリット】その活発な開発の反面、セキュリティリスクも伴います。特に、制作会社の選定がセキュリティレベルに大きく影響するのでため、制作会社の知見が問われる。

WordPressは、一言で言うと「コンテンツ管理システム(CMS)」の一つです。CMSとは、ホームページの作成や更新を簡単にできるシステムのこと。例えば、「果物」のカテゴリーに「りんご」や「バナナ」があるように、「CMS」のカテゴリーには「WordPress」や「Jimdo」、「EC-CUBE」などがあります。

WordPressがセキュリティ的に不安と言われる理由

1. 保守サービスの品質がバラつきがある

  • 公式サポートが基本的に存在しないため(電話でのサポートなど即時的なサポートは期待できません)、ユーザーはWordPressの制作や保守を外部の制作会社に依存することが多いです。結果、その制作会社のサービスの質やセキュリティ対策によって、セキュリティのリスクが変わってきます。

2. WordPressを利用しているサイトは容易に特定できる

  • WordPressのコードには独特の部分があり、ソースコードを見ればWordPressであることがわかりやすい。例えば、「wp-content」「wp-admin」という文字列など。
  • ツールやサービスを利用することで、サイトがWordPressを利用しているかどうかをチェックすることが可能。(例: “WaPPalyzer” や “IsItWP”など)
Wappalyzer - Technology profiler - Chrome ウェブストア
Identify web technologies
chromewebstore.google.com
IsItWP - Free WordPress Theme Detector
IsItWP is a free tool that allows you easily detect if a website is using WordPress and what WordPress themes and WordPress plugins they are using.
www.isitwp.com

ただし、例外も存在します!

  • 例外1)サブディレクトリ(例:ドメイン/blog/)にWordPressが設置されている場合。
  • 例外2)特定のプラグインを使用して、WordPressの特徴を隠している場合。
  • 例外3)WordPressをインストールしただけで実際に使用していない場合。

※100%の確認は、FTPやサーバーのコントロールパネルでログインしないと確定できません。

全てのシステムには完全なセキュリティというものは存在しないのが現状です。ただ、WordPressの利用率が高いため、それに伴う情報(ハッキングノウハウ)も多いです。それが、セキュリティ面での不安として捉えられる一因となっています。

基本的なセキュリティ対策:3つのポイント

WordPressのセキュリティ対策は、まるで我が家を守るような感覚で取り組むとわかりやすいです。以下、その基本的な3つのポイントを紹介します。

  • URLを独自に変更: 通常の「/wp-login/」や「/wp-admin/」などのURLは変更して、予測しにくくしましょう。htaccessやプラグインを使用して変更が可能です。連続してログインを試みるとアクセス制限がかかる機能も追加するとよいでしょう。(不正ログインができなかったとしてもログイン失敗による一時的な制限でユーザー自身も入れなくなってしまうので)
  • 2段階認証やBASIC認証の導入: 家のオートロックのように、2つのセキュリティの扉を設けることで、より強固な防御ができます。
The world’s most common passwords: What to do if yours is on the list
Do you use any of these extremely popular and predictable – and eminently hackable – passwords? If so, it's time for a change.
www.welivesecurity.com

多くの攻撃は高度なサイバー攻撃というよりも、イタズラや改ざんのようなものが大半です。攻撃を受ける主な原因は、基本的なセキュリティ対策がおろそかにされていることが挙げられます。

他のCMSもリスクは存在しますが、WordPressの普及率の高さから、被害にあう確率は高くなっています。

WordPressをさらに強化するための対策

WordPressのセキュリティを一層高めるためには、次のような方法が考えられます。

  • ファイアウォールの導入でネットワークを守る
    特に、社内秘の情報が詰まった社内ネットワーク(イントラサイト)は、外部からの不正アクセスを防ぐため、許可されたユーザーのみがアクセスできるように制限することが必要です。
  • WAF (Web Application Firewall)の利用でWEBサイトを強固に
    WAFは、Webアプリケーション専用のファイアウォールで、以下のようなセキュリティ対策をサポートします。
    • ログインURLのカスタマイズや2段階認証をBASIC認証で行い、不正ログインを事前に防ぐ。
    • パスワードをより強固にすることで、予測や総当たり攻撃を阻止。
    • 高度なサイバー攻撃からWordPressやその他のCMSを保護。

これらの対策を組み合わせることで、WordPressサイトはより安全に運用できるようになります。

攻撃を受けた場合の対応策

万が一の攻撃を受けた場合、どうすれば良いのか、その対応策を考えてみましょう。

  • 完全なセキュリティは存在しない
    まず大前提として、ゼロリスクのCMSは存在しません。どのCMSを使用していても、攻撃のリスクは完全には排除できません。さらに、国や大企業のレベルのシステムでさえ、絶対的な安全は保障されていないのが現状です。したがって、極めて高度な技術を持った攻撃者が真剣に攻撃を仕掛けた場合、100%の防御は難しいのが現実です。
  • 被害を早急に検知する
    攻撃を受けた際には、できるだけ被害を早期に検知し、迅速に対応することが重要です。そのため、WEBサイトの改ざん検知サービスを導入することを強く推奨します。
  • 定期的なバックアップで復元
    万が一の事態に備え、定期的なバックアップを取っておくことは必須です。攻撃を受けた場合、このバックアップからサイトを復元することができます。WordPressは非営利団体が提供するオープンソースのCMSであるため、公式なバックアップサービスは存在しません。そのため、バックアップや復元のサポートは、契約している制作会社やサービス提供者に依存する形となります。

バックアップデータを活用した被害の最小化

WEBサイトの安全は大切ですが、ゼロリスクの環境は存在しません。

万が一の攻撃を受けたとき、被害を最小限に抑える最も効果的な方法は、定期的なバックアップです。

  • 被害の最小化の鍵:バックアップ
    攻撃を受けたとき、最も頼りになるのはバックアップデータです。このデータがあれば、サイトを速やかに復旧することができます。
  • 定期的なバックアップの重要性
    バックアップは定期的に取ることが重要です。さらに、バックアップデータは異なる場所に複数保存することを推奨します。これにより、一つの場所で問題が発生した場合でも、他の場所からデータを取得して復旧することが可能です。
  • 復旧のための時間とコストを節約
    攻撃を受けた直前のデータがバックアップされていないと、サイトの復旧には多大な時間やコストがかかることとなります。最悪のケースでは、サイトを最初から作り直す必要が生じることも考えられます。
  • 被害の把握にもバックアップが役立つ
    バックアップはサイトの復旧だけでなく、攻撃による被害の範囲や影響を正確に把握するためにも重要です。過去のデータと比較することで、変更や損失の箇所を特定する手助けとなります。

まとめ

WordPressはきちんと対策を行えば、 世界で最も信頼され利用されいるCMSWAFなどもあるけれどその前の前の前段階、基本的なことをまずやっていきましょうね。

  1. ログインURLを任意のものに変更htaccessやプラグインで
  2. 2段階認証やBASIC認証を導入する
  3. Passwordは123456や誕生日など簡単なものにしない

WordPressは世界中で非常に人気のあるCMSですが、その普及率の高さから標的にされることも少なくありません。しかし、基本的なセキュリティ対策で多くのリスクを大きく減少させることができます。

もし攻撃を受けてしまった場合、定期的なバックアップがサイトの迅速な復旧をサポートし、被害を最小限に抑える鍵となります。

WordPressはきちんと対策を行えば、 世界で最も信頼され利用されいるCMSなのでまずは基本の3つから取り組んでみましょう。

コメント

タイトルとURLをコピーしました