最低でも対応すべきWordPressの7つのセキュリティ対策

スポンサードサーチ

WordPressはオープンソースの大変便利なCMSであり、W3Techsによると世界中でWordPressはCMSにおいて64.3%のシェアを誇っています。

しかし、WordPress関連で脆弱性のニュースが頻繁に出ることから、WordPressを導入することを禁止している企業もあります。

そこで、今回はWordPressのセキュリティについて見ていきたいと思います。

WordPressは特別セキュリティが甘いのか？

先日も、WordPressのPlugin（プラグイン）の脆弱性について、以下のニュースが流れていました。

Defiantは2月8日(米国時間)、「Severe Vulnerabilities Patched in NextGen Gallery Affect over 800,000 WordPress Sites」において、WordPressのプラグイン「NextGen Gallery」に脆弱性が存在すると伝えた。

TECH+：WordPressの人気プラグインに緊急の脆弱性、80万サイトが影響

こういったニュースが出るというのは、WordPressが特別セキュリティに甘く作られていることを示しているのでしょうか？

他のCMSとの比較

米セキュリティ会社Sucuri社が発表しているHacked Website Threat Report – 2019の中にある2019 Website Threat Research Report（PDF)によると、ハッキングされたCMSの56％が、ハッキングされた時点で古いバージョンとなっていました。

また、ハッキングされたCMSの中で、WordPressはDurpalやJoomla、Typo3といったCMSと比較しても、アップデートがされていなかった率は一番低くとなっています。

A more detailed look at the data shows that WordPress’ automatic background updates introduced in version 3.7 are giving users an advantage over software that doesn’t contain auto-update features. 49% of WordPress installations were outdated at the point of infection, lower than the other popular CMS applications.

2019 Website Threat Research Report（PDF)

これは、WordPress 3.7で導入されたWordPressの自動バックグラウンド更新により、自動更新が行われるようになったことの影響が大きいと指摘してされています。

アップデートされずにハッキングされる

また、WordPressだけを見た場合、ハッキングされたWordPressのうち56％がアップデートされていませんでした。

Plugin（プラグイン）もアップデートされていない

また、Plugin（プラグイン）についてもこれは同様です。

Our analysis revealed that 44% of all vulnerable websites had more than one vulnerable software components present in the environment — 10% of which had at least four vulnerable components.

Sucuri Blog：Hacked Website Threat Report – 2019

脆弱性があるWebサイトの44％には、複数の脆弱なソフトウェアコンポーネントが存在し、さらにその10％には少なくとも4つの脆弱なコンポーネントが存在することが明らかになったと指摘がされています。

システムの堅牢性とは別の話

このように、実際のデータから見る限り、WordPress自体は他のCMSと比較してみると、特別にハッキングされている訳ではない事がわかります。

しかし、オープンソースで数多くの利用者がいるという事は、開発コミュニティにも多くの人が参加しており、脆弱性やバグの発見が早く、アップデートサイクルも早くなるメリットがありますが、これだけ利用者が多いと、WordPressの脆弱性が見つかった段階で、すぐに利用者自身が対策を行わないと、脆弱性を突かれて被害を受けるWebサイトの数も増えてしまいます。

このことが、WordPressの脆弱性に関するニュースが多くなり、WordPressが特別にセキュリティに弱いように勘違いをされる原因です。

しかし、これは空き巣に入られた理由が、「家の鍵をかけ忘れて出かけた」という事に対して、「あのマンションはセキュリティが甘い」というような物言いでしょう。

簡単に使えて利用者が多いということは、システムの管理体制は運用する企業や担当者によってまちまちであり、上で見てきたようにWordPressのアップデートを行わずにハッキングされたようなケースは、「家の鍵をかけずに出かけ」て空き巣にあったようなものです。

どんなに堅牢に作られたシステムであっても、サーバやシステムの設定方法や運用方法によって、脆弱性が発生してしまうことはあり得ますので、WordPressがセキュリティに特別甘いという話とは関係ないのです

WordPressで行うべき対策

どんなシステムでも、セキュリティを考慮した設定や運用を行う事が重要というのはご理解いただけたと思います。

では、WordPressのセキュリティレベルを高くするためには、どのような対策ができるのかを具体的にまとめてみました。

WordPressのコアとPlugin（プラグイン）を常にアップデートする

Hacked Website Threat Report – 2019でも指摘されているように、どんなシステムでもアップデートがされていないものは、ハッキングされるリスクを常に抱えています。

そのため、WordPressの本体とPlugin（プラグイン）を常にアップデートにするのはセキュリティ対策における必須項目です。

WordPressは脆弱性やバグが見つかると、Security Releaseなどで常にアップデートがリリースされますし、Plugin（プラグイン）も同様のリリースがされていますので、常にアップデートを行って最新版にすることが重要です。

WordPressでは、Plugin（プラグイン）についても自動更新を有効化することができるようになりましたので、この設定を行っておくのも一つの手です。

また、Theme（テーマ）についても、脆弱性が見つかる場合がありますので、こちらも常に最新版にアップデートしておきましょう。

利用していないPlugin（プラグイン）は削除する

上で指摘したPlugin（プラグイン）のアップデートに関連するものとして、利用していないPlugin（プラグイン）は削除しましょう。

特に古いPlugin（プラグイン）は、メンテナンスをされていない事が多く、脆弱性が見つかるケースもあります。

そのため、利用していないPlugin（プラグイン）は削除をしておきましょう。

利用者数が多く評価が高い、更新頻度の高いTheme（テーマ）やPlugin（プラグイン）を利用する

導入するTheme（テーマ）やPlugin（プラグイン）は、利用者数が多く、評価が高い、さらに更新頻度の高いものを選択しましょう。

ダウンロード数が少なかったり、評価の低いTheme（テーマ）やPlugin（プラグイン）は、検証が十分に行われていなかったり、脆弱性を含んでいる場合があります。

また、更新頻度が低いTheme（テーマ）やPlugin（プラグイン）は、WordPressのアップデートに対応していなかったり、脆弱性に対応できていない場合もあります。

ユーザー名とパスワードを複雑にする

基本的なことですが、簡単なユーザー名やパスワードを使っていると、クラッカーと呼ばれるシステムに対して不正なアクセスを行い、企業情報や個人情報を盗み取ったり、破壊行動を行う人たちの標的となった場合に、不正ログインをされて改ざんや乗っ取りをされてしまう可能性があります。

システムがパスワードのブルートフォースアタック対策を行っていないと何が問題なのか？でご紹介したように、ブルートフォースアタックで破られるようなものはもちろん論外です。

しかし、ユーザー名を複雑なものにしていても、WordPressの管理画面へのログインIDは、メールアドレスも利用できるため、運営者を特定することで推測をされてしまう可能性があります。

また、他のサービスやシステムで利用しているパスワードの使い回しも、一つのパスワードが流出してしまうと、同じパスワードにしていたすべてのサービスに被害が及ぶ可能性が高いため非常に危険です。

さらに、自分の生年月日など、自分にとってわかりやすい数字をパスワードに設定すると、ソーシャル・エンジニアリングという手法で、管理者の個人情報を取得されてしまうと簡単にパスワードを推測されてしまうかもしれませので、これも避けましょう。

ユーザー毎にアカウントと権限を設定する

一つの管理者アカウントでWordPressを管理していると、誰がログインをしているのか、またどのような作業をしたのかがわかりませんし、作業をしないユーザーに権限を付与する必要はありません。

また、ユーザーが退職したりした場合には、そのユーザーの削除をするだけで管理ができますし、万が一アカウントの漏洩があった場合にも、該当のアカウントだけを削除することで、被害を最小限にとどめられる可能性もあります。

管理画面への対策を行う

WordPressの管理画面のログインURLは、デフォルトだと/wp-admin/と決まってるため、クラッカーが攻撃をしてくる際にも、このURLが狙われることになります。

また、パスワードを複雑なものにすることでパスワードの解読自体は難しくなりますが、ユーザー自身がパスワードの対策をしていなくても、クラッカーから攻撃されても主要なシステムへの侵入が困難であるようにシステム自体を構築することも重要です。

そのためには、以下のような対応が想定されます。

• パスワードの試行回数を制限する
• 多要素認証と組みあわせる
• reCAPTCHAを使う
• アクセス元を制限する
• ログインURLを変更する

これらに対応するには、以下のようなPlguin（プラグイン）を使うのが簡単です。

ログイン回数を制限する

Limit Login Attempts Reloadedは、ログイン回数を制限することができるPlugin（プラグイン）です。

セキュリティ対策Plugin（プラグイン）を導入する

WordPressには、セキュリティ対策を複数できるPlugin（プラグイン）もあります。

SiteGuard WP PluginというPlugin（プラグイン）は、ブルートフォースアタック対策以外にも以下の機能が提供されています。

管理ページアクセス制限	ログインしていない接続元から管理ディレクトリ（/wp-admin/）を守ります。
ログインページ変更	ログインページ名を変更します。
画像認証	ログインページ、コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化	ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロック	ログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラート	ログインがあったことを、メールで通知します。
フェールワンス	正しい入力を行っても、ログインを一回失敗します。
XMLRPC防御	XMLRPCの悪用を防ぎます。
更新通知	WordPress、プラグイン、テーマの更新を、メールで通知します。
WAFチューニングサポート	WAF (SiteGuard Lite)の除外リストを作成します。

Plugin（プラグイン）をリリースしている株式会社ジェイピー・セキュア社のSiteGuard WP Pluginページには、日本語での開設も用意されています。

管理画面への接続を制限する

WordPressの管理画面は、デフォルトだと/wp-admin/と決まっていますが、管理画面にそもそも管理者以外がアクセスできないようにすることもできます。

それは、特定の固定IPからしかアクセスできないように、サーバの設定を変更したり、以下のように.htaccessを使ってIP制限の設定を行う方法です。

固定IPが難しいようであれば、基本認証を掛ける方法もあるでしょう。

いずれにしても、外部の人間が管理画面にアクセスできないようにする、というのがポイントです。

複数の対策を組み合わせる

WordPressのセキュリティ対策については、上に記載した対策はできるだけ行っておくのがおススメです。

また、Hacked Website Threat Report – 2019のレポートを出している米セキュリティ会社Sucuri社は、Sitecheckというサービスを提供しています。

これは、URLを入力するだけでMinimalからCriticalの5段階でサイトのセキュリティ診断を行ってくれますので、自社サイトに対するチェックをしてみるのもいいと思います。

スポンサードサーチ