「ワードプレスはセキュリティ面に脆弱性がある」
皆さんはこういった言葉を耳にしたことはありますか?
多くの企業ホームページで使用されているWordPress(ワードプレス)ですが、そのほとんどのサイトは十分なセキュリティ対策が行われていません。
本記事では、WordPressの危険性とそのセキュリティ対策について詳しく解説していきます。
- 戦略設計から制作まで
- 広範な対応可能領域
- 業務の生産性向上支援
- 地域密着のパートナー
毎月3社限定!無料で貴社のWebサイトを診断し、現状の課題や改善案を具体的にご提案いたします!
また、初回のみ60分間の無料相談も承っております!
WordPressのセキュリティ対策
プラグイン「SiteGuard WP Plugin」を有効化
「SiteGuard WP Plugin」は、国内企業が開発する純国産のセキュリティ対策プラグインです。
日本の企業が提供しているので日本語に対応している他、セキュリティ面からも安心して使用できます。
「SiteGuard WP Plugin」でできること
「SiteGuard WP Plugin」で設定できるセキュリティ対策は、12項目あります。
管理ページアクセス制限
ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
ログインページ変更
ログインページ名を変更します。ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
画像認証
ログインページ、コメント投稿に画像認証を追加します。ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。
ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。ユーザー名の存在を調査する攻撃を受けにくくするための機能です。ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。
ログインロック
ログイン失敗を繰り返す接続元を一定期間ロックします。ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。ユーザーアカウント毎のロックは行いません。
ログインアラート
ログインがあったことを、メールで通知します。不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。サブジェクトとメール本文には、次の変数が使用できます。XML-RPCによるアクセスは通知されません。
変数一覧
| サイト名 | %SITENAME% |
|---|---|
| ユーザー名 | %USERNAME% |
| 日付 | %DATE% |
| 時刻 | %TIME% |
| IPアドレス | %IPADDRESS% |
| ユーザーエージェント | %USERAGENT% |
| リファラー | %REFERER% |
メール内容設定
| サブジェクト(メール件名) | %SITENAME%にログインがありました |
|---|---|
| メール本文 | %DATE% %TIME%に%USERNAME%がログインしました。 == ログイン情報 == IPアドレス:%IPADDRESS% リファラー:%REFERER% ユーザーエージェント:%USERAGENT% — SiteGuard WP Plugin |
| 受信者 | 管理者のみ(ON / OFF) |
WordPressが危険と言われている理由
WordPress仕組みを誰もが見れてしまう
WordPressが危険と言われている理由として、オープンソースであることが挙げられます。オープンソースとはそのソフトウェアのソースコード(ソフトを構成しているファイル)が誰でも見れるように公開されています。これにより、全世界の有志のエンジニアがWordPressのメンテナンスや更新作業を手伝うことができ、私たちは無料で利用することができています。ただし、不具合や脆弱性のあるコードに対して攻撃するようないわゆるマルウェア(ウイルス)の開発や、管理ページへの不正ログインのための情報源としてソースコードが利用されてしまっている一面があります。
管理画面へアクセスするための情報が漏洩している
例えば、WordPressがインストールされているディレクトリ直下に「/wp-admin」や「/wp-login.php」と入力すれば、誰でもログインページにアクセスすることができます。また、サイトURL直下に「/?author=1」と入力すれば「/author/[ユーザー名]」1番目に追加されたユーザー名が含まれたURLのページにリダイレクトされます。
これにより、ログインページとユーザー名がわかってしまうため、万が一パスワードが漏洩した場合、不正ログインされてしまう危険性があります。
不正ログインされるとどうなってしまう?
サイトが乗っ取られる
管理アカウントの削除やパスワードの変更などで、サイトが乗っ取られてしまう恐れがあります。この場合は、データベースサーバーからユーザー名とパスワードを確認するなどで対応はできますが、サイトが乗っ取られてしまうと最悪、サイトを作り直さないといけなくなってしまいます。
マルウェア(ウイルス)の埋め込み・配布
お問い合わせフォームやテキストリンクなどにマルウェア(ウイルス)が埋め込まれてしまう危険性があります。これは、サイトの見た目だけでは気付きにくいため、取引先や顧客にも被害を及ぼしてしまいます。
1万円でセキュリティ対策を代行します!
株式会社イコールでは、1万円(税別)でWordPressのセキュリティ対策を代行いたします。
WordPressやプラグインの扱いがわからない方は、ぜひ一度ご相談ください。
