CMSとして王道なWordpress、自社のブログやコーポレートサイトに使っている人もいるかも知れません。便利で使いやすい一方で脆弱性に気をつけた方が良いとも言われています。

今回はWordpressで気をつけるべき脆弱性やその対策について解説していきます。

1. WordPressを使う際に気をつけたい脆弱性について

Wordpressの脆弱性とその対策

全世界の約60%のホームページはWordpressで作られていると言われているほどシェアを取っているWordpress。CMSとしてコンテンツ管理、デザイン、ユーザー管理など十分すぎるほどの機能が、無料で使えるという事もあり、日本でも多くの人が使っているのでは無いでしょうか。

しかし、シェアが多い分ハッキング被害などに遭いやすいのも事実です。ハッカーたちはWordpressの脆弱性を熟知しており、アタックをかけて情報を盗み出そうとしたり、ホームページの書き換えを行なって不利益を被らせようとすることがあります。

使用者が多く使いやすいオープンソースCMSだからこそ、脆弱性があることを意識して対策をする必要があります。

オフショア開発のご案内

2. WordPress脆弱性をついた攻撃の例

WordPressの脆弱性をついた攻撃の例を見てみましょう。

2-1. SQLインジェクション

Wordpressの脆弱性とその対策

SQLインジェクションとは、会員登録やお問い合わせフォーム、アンケートなどの入力フォームにSQLと呼ばれるデータベースを操作するためのコマンドを入力して不正にデータベース操作を行うことを指します。

例えば、入力フォームに全ユーザーの情報を表示するためのコマンドを入力してユーザー情報を盗み出したり、全ての情報を削除するコマンドを入力してデータを全て消したりと言ったことが行われます。

もしユーザーの重要な情報をデータベースに保持していた場合は情報漏洩として重大インシデントとなり、ユーザーに迷惑をかけるだけでなく会社の信用を落としてしまい経営に大打撃を与えることとなるでしょう。

2-2. ブルートフォースアタック

Wordpressの脆弱性とその対策

ブルートフォースアタックとは、パスワード総当たり攻撃とも言われるもので、パスワードの組み合わせを片っぱしから試して管理画面などに侵入しようとすることです。

もちろん人の手ではなくプログラムなどで自動的に行われるので、高速で何パターンもの組み合わせが試されます。パスワードを単純なものにしているとすぐに突破されて不正アクセスを許してしまうことになりますし、サーバーへの負荷が高くなる可能性もあります。

2-3. DOS攻撃

Wordpressの脆弱性とその対策

DOS攻撃とは、ホームページに機械的に大量のリクエストを行うことでサーバーに負荷をかけて、サーバーダウンさせたり他の人がアクセスできないようにすることです。

ホームページにアクセスできなくすることで、ユーザーがアクセスできずに困ったり、更新作業が止まってしまうのはもちろん、本来なら入っていたはずの広告収益やECサイトの場合は通販売り上げが入らなくなるので経営としても避けたい事態です。

2-4. 管理画面への不正アクセス

さきほどのブルートフォースアタックとも関係してきますが、WordPressの場合管理画面へログインするためのページへのアクセスが容易なことが多いため、ユーザー名やパスワードが推測できると簡単に管理画面へ不正アクサスされることになります。

管理画面への不正アクセスをされるということは、全コンテンツがみえるようになってしまうことのほかに悪さをするファイルをアップロードしたり、不正プログラムを埋め込まれる可能性があるということです。

ホームページの改竄などならば目に見えやすいのですぐに気づくことができますが、知らないうちにバックドアと呼ばれる侵入口を設置されてずっと情報を盗まれることになったり、アクセスした人が不利益を被るようなプログラムを設置されるということにもつながるので管理画面への不正アクセスは絶対に起こらないように対策する必要があります。

オフショア開発のご案内

3. WordPress セキュリティ向上のためにできること

上記はWordpress以外でも起こりうることですが、Wordpressの脆弱性を克服するための対策がありますのでご紹介します。

3-1. 自動アップデートをオンにする

Wordpressの脆弱性とその対策

WordPressのプログラム自体に脆弱性が含まれていることがあります。大抵は脆弱性が発見されたあとに開発チームによって修正されます。その修正を自分のホームページにも適用するためにプログラムのアップデートを適宜行う必要があります。

WordPressには自動アップデート機能が備わっているので、よっぽどのことがない限りは自動アップデートをオンにしておくことをお勧めします。万が一カスタマイズを多くしているという場合は自動アップデートにより不具合が出る可能性がありますので、その時は適宜テスト環境などを準備してアップデートしまうとバグが出ないかを検証してからアップデートするようにすると良いでしょう。

3-2. 管理画面のURL変更

Wordpressの脆弱性とその対策

WordPressではデフォルトの管理画面URLが決められていますが、変更することも出来ますのでなるべく管理画面のURLは変えておきましょう。こうすることで、アタッカーがログイン画面に来れないので不正アクセスやブルートフォースアタックを受ける心配が少なくなります。

何らかの事情で変えるのが難しい場合は、BasicAuthと呼ばれる認証画面を挟むことでよりセキュリティが強化されますので導入しましょう。それでも不正アクセスされてしまうことはありますが、何もしないよりは良いでしょう。

3-3. ログインの二段階認証をオンにする

どんなに管理ログイン画面にアクセスされないようにしていても何らかの方法で到達されてしまうこともあります。そのときのために、ログインは2段階認証にしておくと安心です。

2段階認証とは、正しいユーザー名、パスワードを入れた後にそのメールアドレスに認証メールやパスコードが送られ、メールのURLをクリックしたり、パスコードを再度入力したりといったステップを踏んでようやくログインが完了するといった認証のことを指します。

メールアドレスやユーザーIDとパスワードのみでログインできてしまうとなった場合はすぐに突破されてしまいますが、2段階認証にしておけばメールシステムにアクセスされない限りは基本的にはログインされませんので安心です。

3-4. セキュリティプラグインをインストール

Wordpressの脆弱性とその対策

WordPressには多くのセキュリティプラグインがあります。無料のものから有料のものまで幅広く選択肢がありますが、プラグインを一つ入れるだけで上記で挙げたような対策を簡単に設定できるようになることが多いので、なるべくセキュリティプラグインを入れておきましょう。

ログイン画面のURL変更や複数回パスワードを間違えたら一定期間アクセスをブロックするようにするなどの設定ができるもの、セキュリティチェック機能があるものもあります。有料になっても広くカバーしてくれるものを選んでおくことをお勧めします。

3-5. Google Analytics、Search Consoleの導入

Wordpressの脆弱性とその対策

google analytics とは、googleが提供するアクセス解析ツールです。非エンジニアでも、急にアクセスが増えたりといったことを検知することができるので入れておくと良いでしょう。Search Consoleは検索の解析ツールですが、こちらもコンテンツに異常があったりすると検知してお知らせしてくれることがあります。

最近ではURLの不正利用なども増えており、そのような一見わかりづらいスパム行為に気づくためにはSearch consoleをいれておくことをおすすめします。

4. 万が一攻撃されてしまった場合は?

Wordpressの脆弱性とその対策

万が一攻撃に遭ってしまった場合は、まずはサーバの復旧、外部アクセスを遮断、ログの解析やコンテンツが改竄されていないかを確認する必要があります。

不正なアクセスをされたのに何にもおかしいところがないというときは、わかりにくい不正プログラムを置かれている可能性があるので、セキュリティチェックプラグインなどを利用して怪しいファイルがないかどうかを確認しましょう。

5. WordPressまとめ

使いやすく導入も用意なWordpressですが、セキュリティ面では気をつけるべきことも多いのできちんとエンジニアと相談してセキュリティ対策をしましょう。

問い合わせ

CMS開発をするならオフショア開発で

オフショア開発  契約形態

CMS開発は高いコストパフォーマンスを実現できるオフショア開発が最も最適です。

そんな、オフショア開発を行う際に必ず押さえておくべき2つの契約形態。
自社のプロジェクトは、請負型が良いのか、ラボ型が良いのか困った経験はございませんか?

請負型とラボ型のどちらにも柔軟に対応しているバイタリフィだからこそわかる
「所要時間20秒 適正契約診断チェックシート」付きの資料です!

オフショア開発を始めようとしている方はぜひご覧ください。

目次

  • 2つの契約形態
  • 請負型契約
  • ラボ型契約
  • 【所要時間 20秒】適正契約診断 チェックシート
  • バイタリフィのオフショア開発とは
資料請求・問い合わせ