手軽に、そして無料でも優れたコンテンツを作成できるWordPressですが、その身近さゆえ、本来は必須であるセキュリティ対策が軽視されるというケースは少なくありません。この記事では、WordPress利用時のセキュリティ対策に関する概要情報や、実際に行うべき設定などを解説しているので、ぜひ参考にしてください。
目次
WordPressで行うべきセキュリティ対策とは
非常に便利で、企業のホームページから個人のブログまで、幅広く利用されているWordPressですが、利用者が多いシステムには避けられない、悪意ある攻撃の対象になりやすいという問題もあります。サイトを運営する上では、どのようなリスクが存在するのかを理解し、正しい対策をとることが重要です。
WordPressで注意したい脆弱性とは
脆弱性とは、システム上の弱点のことです。WordPressでは、脆弱性が過去に何度か検出されています。実際に行われた、WordPressの脆弱性を突いたセキュリティ攻撃をいくつかを具体的に紹介します。
クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)は、WordPressで使われているもので、サイトにコードを埋め込み、他サイトへの誘導を行うというものです。これを悪用し、個人情報が不正に取得される、使用しているコンピューター上のファイルが破壊される、バックドアを仕掛けられるといった被害が報告されています。
クロスサイトリクエストフォージェリ
クロスサイトリクエストフォージェリ(CSRF)は、攻撃者が設置したリンクによって、ユーザーが意図していないリクエストが送信されるというものです。情報が漏れる、不正な書き込みが行われるといったリスクがあり、誤認逮捕が出たケースもあります。
SQLインジェクション
SQLインジェクションは情報を抜き取る、あるいは改ざん、消去するなど、データベースを不正に操作する攻撃です。個人情報漏洩につながる可能性もあり、重大な被害を引き起こしかねません。
ブルートフォースアタック
ブルートフォースアタックは「総当たり攻撃」とも呼ばれています。ログイン画面などでパスワードを総当たりで割り出すというもので、成功するとアカウントを乗っ取られてしまいます。
これらの攻撃によって、サイトの改ざんや削除、個人情報の漏洩、ログインできなくなるといった被害に遭う可能性があります。また、Googleのブラックリストに登録され、検索にヒットしなくなるということも考えられます。
WordPressは常にアップデートを行い、被害を防ぐ努力をしていますが、ユーザー側でも対策は必須といえるでしょう。
WordPressがターゲットにされやすい理由
何故、WordPressはセキュリティ攻撃のターゲットにされるのでしょうか。
まず、第一の理由は利用者の多さです。世界中のサイトの40%以上が、WordPressで構築されているといわれています。一つの脆弱性を発見すれば、大量のサイトに攻撃を仕掛けられるのです。しかも、基本的にログイン画面のURLが決まっているので、効率よく攻撃を仕掛けられます。
また、オープンソースであるため、脆弱性を発見しやすいという理由もあります。手軽で、多くの人に親しまれている優れたシステムだからこそ、狙われるのです。
(引用元:w3techs)
WordPress運用で欠かせないセキュリティ対策と設定
ここからは、セキュリティ攻撃の被害に遭わないための対策を紹介していきます。
ユーザー名・パスワードは定期的に更新する
まずやってはいけないのが、ユーザー名を「admin」など、多くの人が使用しているシンプルな文字列で固定することです。
こうした推測しやすい単語や、数字のみのユーザー名・パスワードは簡単に見破られます。10桁以上で、大文字、小文字、数字、記号を合わせた文字列にすると、突破に数百年はかかるといわれるほどに強固になります。その上で、定期的な更新を繰り返していれば、突破されることはなくなるでしょう。
プログラムの更新はスピーディに。常に最新の状態にしておく
WordPress本体やプラグイン、テーマなどは、バグや不具合が見つかると更新されます。しかし、サイト管理者が更新に対応せず、そのままにしておくとバグ、不具合もそのままで、攻撃の対象となってしまうおそれがあります。更新が行われると管理画面に通知が表示されるので、すぐに対応するようにしましょう。
使わないプラグインは削除する
プラグインも攻撃の対象となる可能性があるというのは、先に触れました。そのリスクも、極力抑えておくべきです。インストールしているもののうち、利用していない不要なプラグインは削除しましょう。使用していないと更新も怠りがちになり、脆弱性がそのままということも起こりえます。削除してしまえば、そうしたリスクを元から断つことができます。
セキュリティ対策を強化するWordPressのおすすめプラグイン
ここまでは、利用者(管理者)として注意すべきセキュリティのポイントを解説してきましたが、ネット上のどこに潜んでいるか分からないリスクに対し、人間の力だけで立ち向かうというのは、少々心もとないかもしれません。
ここからは、セキュリティ対策に役立つプラグインを紹介していきます。厳重なセキュリティ対策を行うには、システム会社に依頼しなければならないといった認識をおもちの方も多いかもしれません。
ですが、WordPressではプラグインを利用することで、そうしたレベルの強固な対策を、個人で簡単にできてしまいます。おすすめのプラグインを3つ紹介します。
All In One WP Security & Firewall
最初に紹介するのは、「All In One WP Security & Firewall」です。このプラグインは大きく分けて「ログイン画面のセキュリティ強化」、「データベースの保護」、「悪意のあるアクセス防止」という3つの機能を備えています。
ログイン画面のセキュリティ強化
WordPressのログイン画面は、デフォルトではどのサイトも共通のURLとなっていて、だれでも簡単にアクセスできてしまいます。ログインするには、もちろん認証が必要ですが、ブルートフォースアタック(総当たり攻撃)によって突破されてしまう可能性もゼロではありません。
このプラグインは、ログインURLを共通のものから、サイト独自のものに変更できます。これによって、ログイン画面の安全性が飛躍的に高まります。
データベースの保護
WordPressはデータベースも、ログイン画面と似通ったリスクを抱えています。デフォルトでは、名称の頭に「wp_」と付いているので、推測されやすいのです。これを変更することで、データベースを攻撃から守れます。
悪意のあるアクセス防止
WordPressはさまざまなファイルで構成されていて、それらに直接アクセスして行われる攻撃も、多数存在します。悪意のあるアクセスを防ぐことは大変重要です。ファイアウォールを設定することで、ファイルへのアクセスを防ぎ、サイトを守れます。
また、スパムコメントも防ぐことができます。システムへの侵入経路となるものもあるので、こちらも忘れずに設定しておきましょう。
セキュリティの意味合いは少々変わってきますが、コピー機能を使えなくして、コンテンツを盗用されにくく機能も利用できます。
SiteGuard WP Plugin
ログイン画面のURLを変更できるのは、All In One WP Security & Firewallと同様です。さらにこのプラグインには「IPアドレス判別」、「画像認証機能の設定」、「不正ログイン履歴の監視」という機能があります。
IPアドレス判別
IPアドレス判別は、攻撃者を特定することにつながるため、ログイン画面へのアクセス(攻撃)を阻止することができます。
画像認証機能の設定
ブルートフォースアタックは、通常、自動化されたプログラムにより行われます。画像認証を設定すると、プログラムでは対応困難な認証方式を加えることになるため、リスクを大幅に低下させられるのです。
不正ログイン履歴の監視
ログインに関する履歴を記録・参照する機能があり、ログインに成功したか、失敗したかだけでなく、アクセス元のIPアドレスまで記録されるので、被害を未然に防止、察知することが可能となり、事前に対策をとることができるようになります。
Backup Guard
しっかりとした対策をとっていても、リスクをゼロにすることはできません。万が一の事態に備えた対策も必要です。バックアップを残しておけば、サイトを強制的に変更、あるいは消去されてしまったとしても復元できるため安心です。
データの破損、消失は外部からの攻撃以外でも、さまざまな要因で起こりえます。バックアップは必ず保持するようにしておいてください。
数あるバックアップのプラグインの中、Backup Guardはシンプルで、取得、復元が容易という点が優れています。
まとめ
WordPressは多くの脅威にさらされていますが、個人レベルでの対策は決して難しくありません。利用者(管理者)のこまめな気配りと、プラグインの利用によって、強固なセキュリティ対策が実現できます。
この記事も参考にして、万全の対策を構築し、便利なWordPressをより安全に活用できるよう、役立ててください。
