WordPressの脆弱性とその対策法とは | アプリ開発ラボマガジン

CMSとして王道なWordpress、自社のブログやコーポレートサイトに使っている人もいるかもしれません。便利で使いやすい一方で脆弱性に気をつけた方が良いとも言われています。

今回はWordpressで気をつけるべき脆弱性やその対策について解説していきます。

1. WordPressを使う際に気をつけたい脆弱性について
2. WordPress脆弱性をついた攻撃の例
3. WordPress セキュリティ向上のためにできること
4. 万が一攻撃されてしまった場合は？
5. WordPressまとめ
6. CMS開発をするならオフショア開発で
- 6-1. オンラインで現地視察ができる！「バーチャル視察会」

1. WordPressを使う際に気をつけたい脆弱性について

全世界の約60%のホームページはWordpressで作られていると言われているほどシェアを取っているWordpress。CMSとしてコンテンツ管理、デザイン、ユーザー管理など十分すぎるほどの機能が、無料で使えるという事もあり、日本でも多くの人が使っているのでは無いでしょうか。

しかし、シェアが多い分ハッキング被害などに遭いやすいのも事実です。ハッカーたちはWordpressの脆弱性を熟知しており、アタックをかけて情報を盗み出そうとしたり、ホームページの書き換えを行なって不利益を被らせようとすることがあります。

使用者が多く使いやすいオープンソースCMSだからこそ、脆弱性があることを意識して対策をする必要があります。

2. WordPress脆弱性をついた攻撃の例

WordPressの脆弱性をついた攻撃の例を見てみましょう。

2-1. SQLインジェクション

SQLインジェクションとは、会員登録やお問い合わせフォーム、アンケートなどの入力フォームにSQLと呼ばれるデータベースを操作するためのコマンドを入力して不正にデータベース操作を行うことを指します。

例えば、入力フォームに全ユーザーの情報を表示するためのコマンドを入力してユーザー情報を盗み出したり、全ての情報を削除するコマンドを入力してデータを全て消したりと言ったことが行われます。

もしユーザーの重要な情報をデータベースに保持していた場合は情報漏洩として重大インシデントとなり、ユーザーに迷惑をかけるだけでなく会社の信用を落としてしまい経営に大打撃を与えることとなるでしょう。

2-2. ブルートフォースアタック

ブルートフォースアタックとは、パスワード総当たり攻撃とも言われるもので、パスワードの組み合わせを片っぱしから試して管理画面などに侵入しようとすることです。

もちろん人の手ではなくプログラムなどで自動的に行われるので、高速で何パターンもの組み合わせが試されます。パスワードを単純なものにしているとすぐに突破されて不正アクセスを許してしまうことになりますし、サーバーへの負荷が高くなる可能性もあります。

2-3. DOS攻撃

DOS攻撃とは、ホームページに機械的に大量のリクエストを行うことでサーバーに負荷をかけて、サーバーダウンさせたり他の人がアクセスできないようにすることです。

ホームページにアクセスできなくすることで、ユーザーがアクセスできずに困ったり、更新作業が止まってしまうのはもちろん、本来なら入っていたはずの広告収益やECサイトの場合は通販売り上げが入らなくなるので経営としても避けたい事態です。

2-4. 管理画面への不正アクセス

さきほどのブルートフォースアタックとも関係してきますが、WordPressの場合管理画面へログインするためのページへのアクセスが容易なことが多いため、ユーザー名やパスワードが推測できると簡単に管理画面へ不正アクサスされることになります。

管理画面への不正アクセスをされるということは、全コンテンツがみえるようになってしまうことのほかに悪さをするファイルをアップロードしたり、不正プログラムを埋め込まれる可能性があるということです。

ホームページの改竄などならば目に見えやすいのですぐに気づくことができますが、知らないうちにバックドアと呼ばれる侵入口を設置されてずっと情報を盗まれることになったり、アクセスした人が不利益を被るようなプログラムを設置されるということにもつながるので管理画面への不正アクセスは絶対に起こらないように対策する必要があります。

3. WordPress セキュリティ向上のためにできること

上記はWordpress以外でも起こりうることですが、Wordpressの脆弱性を克服するための対策がありますのでご紹介します。

3-1. 自動アップデートをオンにする

WordPressのプログラム自体に脆弱性が含まれていることがあります。大抵は脆弱性が発見されたあとに開発チームによって修正されます。その修正を自分のホームページにも適用するためにプログラムのアップデートを適宜行う必要があります。

WordPressには自動アップデート機能が備わっているので、よっぽどのことがない限りは自動アップデートをオンにしておくことをお勧めします。万が一カスタマイズを多くしているという場合は自動アップデートにより不具合が出る可能性がありますので、その時は適宜テスト環境などを準備してアップデートしまうとバグが出ないかを検証してからアップデートするようにすると良いでしょう。

3-2. 管理画面のURL変更

WordPressではデフォルトの管理画面URLが決められていますが、変更することも出来ますのでなるべく管理画面のURLは変えておきましょう。こうすることで、アタッカーがログイン画面に来れないので不正アクセスやブルートフォースアタックを受ける心配が少なくなります。

何らかの事情で変えるのが難しい場合は、BasicAuthと呼ばれる認証画面を挟むことでよりセキュリティが強化されますので導入しましょう。それでも不正アクセスされてしまうことはありますが、何もしないよりは良いでしょう。

3-3. ログインの二段階認証をオンにする

どんなに管理ログイン画面にアクセスされないようにしていても何らかの方法で到達されてしまうこともあります。そのときのために、ログインは2段階認証にしておくと安心です。

2段階認証とは、正しいユーザー名、パスワードを入れた後にそのメールアドレスに認証メールやパスコードが送られ、メールのURLをクリックしたり、パスコードを再度入力したりといったステップを踏んでようやくログインが完了するといった認証のことを指します。

メールアドレスやユーザーIDとパスワードのみでログインできてしまうとなった場合はすぐに突破されてしまいますが、2段階認証にしておけばメールシステムにアクセスされない限りは基本的にはログインされませんので安心です。

3-4. セキュリティプラグインをインストール

WordPressには多くのセキュリティプラグインがあります。無料のものから有料のものまで幅広く選択肢がありますが、プラグインを一つ入れるだけで上記で挙げたような対策を簡単に設定できるようになることが多いので、なるべくセキュリティプラグインを入れておきましょう。

ログイン画面のURL変更や複数回パスワードを間違えたら一定期間アクセスをブロックするようにするなどの設定ができるもの、セキュリティチェック機能があるものもあります。有料になっても広くカバーしてくれるものを選んでおくことをお勧めします。

3-5. Google Analytics、Search Consoleの導入

google analytics とは、googleが提供するアクセス解析ツールです。非エンジニアでも、急にアクセスが増えたりといったことを検知することができるので入れておくと良いでしょう。Search Consoleは検索の解析ツールですが、こちらもコンテンツに異常があったりすると検知してお知らせしてくれることがあります。

最近ではURLの不正利用なども増えており、そのような一見わかりづらいスパム行為に気づくためにはSearch consoleをいれておくことをおすすめします。