皆さんは、WordPressセキュリティ対策をしていますか?手軽に導入ができる上に本格的なホームページが作成できるWordPressはCMS(コンテンツマネージメントシステム)の中でも非常に多くのシェアを持っています。
しかし残念なことに有名なCMSだけでも数十種類を超える中でWordPressはクラッキング被害件数が一番多く、運用するにはセキュリティ対策は必須です。今回はWordPressのセキュリティについて徹底解説していきます。
WordPressが狙われる理由
WordPress自体の性能に加えて、オープンソースで無料で導入する事ができる事から個人、企業ともにCMS最大のシェアを持っています。しかしWordPressが狙われる理由もここにあります。
逆にクラッカーからすると脆弱性を見つける為のWordPress導入が無料で行なえる上に、脆弱性を発見できればWordPressで公開されている個人または企業のサイトを標的にする事ができる為狙われやすくなっています。例えばWordPressのメリットであるダッシュボード(管理機能)がWEB上で行える事も狙われる理由です。
WordPress導入後に設定変更などで対策を取っていなければダッシュボードにログインする為のURLはWordPressが入っているURLにwp-adminまたはwp-login.phpになります。後は管理者IDとパスワードがバレてしまえばクラッカーの好きに使われてしまいます。WordPressの特徴である利便性を重視した仕様なども狙われる理由です。
WordPressのセキュリティの強化方法
ここからは具体的なWordPressセキュリティ強化方法について解説していきますいきます。セキュリティ強化が必要なことを知らなければ被害に遭う事が多いのはWordPressのデメリットですが、知っていればWordPressセキュリティ強化は手軽に行う事ができます。
テーマやプラグインの選び方
WordPressはプログラミングなどの専門知識がない方でもテーマを切り替えるだけでデザインを一新したり、プラグインを追加するだけで簡単に機能を拡張できます。テーマやプラグインは無償、有償ともにWordPress公式ディレクトリ、Web上からに簡単に入手できます。
しかしテーマやプラグインは悪意のあるコードが仕込まれている事も多く、特にWordPress公式ディレクトリに公開されているもの以外は導入しないのがオススメです。
またWordPress公式ディレクトリに公開されている物も出来るだけメジャーなものを選択し常に最新化する事が重要です。メジャーなものを選ぶ理由はバージョンアップ頻度が行われ脆弱性に対して対応してくれるからです。
管理者ID・パスワードの決め方
冒頭でも少し触れましたが、WordPressは管理者画面へのログインURLが判明した時点で管理者IDとパスワードだけが最後の砦になります。
管理者IDやパスワードの決め方は前提として推測されやすいものやtest、123、passwordなど初期設定として使われる事が多い物も設定してはいけません。最善の決定方法は完全ランダムの管理者IDとパスワードを定期的に変更して運用する事です。
SSL通信設定する
WordPressはもちろん、インターネット上の通信は全て盗み見る事ができます。そこでSSL通信設定をすることで盗み見られても解読できない暗号化を行ってくれます。SSLサーバ証明書を購入して導入し、WordPrees上に設定することで比較的簡単に導入することができます。通信の暗号化によるセキュリティ強化に加えて、サイトを訪問した方が安心して利用して貰える為、企業では導入は必須と言えます。
WordPressのバージョンを常に最新化する
テーマやプラグインと同様に、WordPressもバージョンアップされます。機能強化に加えて脆弱性への対応等も含まれており、常に最新化しておく事が重要です。WordPress自体の脆弱性は攻撃するクラッカーからすると全てのWordPressで構築されたサイトをターゲットにする事ができてしまいます。
過去にIPA(情報処理推進機構)でも注意喚起された事もあります。バージョンアップを行う事でプラグインなどが動作しなくなる場合がある為、バージョンアップ前には必ずバックアップを取っておく事も忘れてはいけません。
WP-Config.phpをカスタマイズ
WP-Config.phpを編集することで、利用しているサーバ次第では権限を設定する事ができます。また初期状態のWordPressはダッシュボードからテンプレートファイル等の編集を行う事ができます。WP-Config.phpの最後にdefine(‘DISALLOW_FILE_EDIT’,true);を追記する事でダッシュボードからの編集を無効化できます。
adminユーザーの削除
WordPressでは初期導入時点で「admin」と言うユーザーが登録されています。「admin」ユーザーを削除せずに残しておくと、ログインURLとパスワードがわかるだけでダッシュボードにログインできてしまいます。「admin」は可能な限り早く削除が必要です。
プラグインの停止
使用していないプラグインを有効化しておくと、それだけ脆弱性をついた攻撃を受ける可能性が高くなります。必要なプラグイン以外は常に停止しておく事が大事です。
セキュリティ対策ができるプラグイン
セキュリティ対策を自分で1から開発しようとすると、かなりの労力が必要になります。WordPressではセキュリティを強化できるプラグインも多数公開されています。オススメのプラグインをご紹介しておきます、しておきます。
SiteGuard WP Plugin
SiteGuard WP Pluginは日本製のプラグインで、主にブルートフォースアタックを防いでくれるプラグインです。機能としてはダッシュボードへのログインURLをランダムで変更、専門知識がない方でもUI操作だけでファイルへのアクセス制限などが行えます。
Wordfence Security
Wordfence Securityはセキュリティ対策が行えるプラグインの中でも非常に性能が高く、また自身のWordPressサイトの脆弱性を調べてくれる機能もあり、初心者からベテランまでオススメのプラグインです。
唯一のデメリットは日本語対応がされていない為、英語が苦手な方は翻訳して設定を行うか設定方法を紹介しているサイトを参考にしなければなりません。
セキュリティ診断ができるサイト3選
セキュリティ診断ができるサイトをご紹介します。
Observatory
出典元:https://observatory.mozilla.org
Observatoryは無料で診断が行える上に自身サイトのURLを入力するだけで診断ができます。脆弱性などを調べて、評価や対策が必要な点を教えてくれます。
Site Security Center
出典元:https://global.sitesafety.trendmicro.com/?cc=jp
Site Security Centerはウィルス対策ソフトで有名なトレンドマイクロ無料提供しているサービスです。Observatoryと同様自サイトのURLを入力するだけで診断してくれます。セキュリティソフトを手掛ける企業が提供しているだけあって、最新の攻撃手法にも対応した診断を行ってくれます。また診断結果もカテゴリーごとに表示してくれるのも特徴です。
gred
gredも上記でご紹介した2サイト同様にURLを入力するだけでセキュリティ診断が行える点は同じですが、リンク先のページも含めてチェックをしてくれる機能があるのが特徴です。
まとめ
今回はWordPressのセキュリティについて、解説してきましたが、いかがでしたか?
WordPressについては手軽さや利便性が強調されている事が多く、セキュリティについて見逃しがちになりますが、Web上に公開する以上はセキュリティ対策は必要です。
初心者の方がいきなり高度なセキュリティ対策を行うのは簡単ではありませんが、プラグインを使用したり、セキュリティを意識するだけで防ぐクラッカーの攻撃を防ぐ事も少なくありません。
セキュリティ対策がわからない方は手始めに今回ご紹介したセキュリティ診断ができるサイトを利用する事から始めてみてはいかがでしょうか。
