【IT技術】自社のWebサイトを守ろう!実施すべきWordPressのセキュリティ対策
Wordpressは、世界で最も使われているCMS(コンテンツマネジメントシステム)です。ところが、いくつかのWebサイトは、サイバー攻撃を防ぐ最低限の対策を行っていないケースが見られます。
今回は、 Web サイトをWordpressで構築する際に実施すべきセキュリティ対策を紹介します。
世界でもっとも普及している分、もっとも攻撃されやすいWordPress
WordPressは、世界で最も利用されているCMSです。
以下のグラフは、2020年2月の時点のCMSのシェアですが、CMSで構築されているサイトの約6割がWordPressで構築されていることがわかります。
つまり、世界で最も普及しているCMSとなります。
WordPressはオープンソースといって、プログラムの中身(ソースコード)を全世界に公開しています。
そのため、悪意のある攻撃者からすれば、攻撃しやすいシステムの1つでもあります。
WordPressのウィークポイント
WordPressの弱点は、いったいどこでしょうか?
例えば、我々が攻撃者となった場合、以下のポイントにアクセスできるかを確認します。
- WordPressをインストールしているサーバの管理画面
- WordPressにファイルベースでアクセス可能なエンドポイント
- WordPressの管理画面
WordPressをインストールしているサーバの管理画面
まず、 WebサーバやDBサーバですが、最も分かりやすい攻撃は、レンタルサーバーのアカウントを乗っ取られた場合です。
最近は、WordPressを簡単に構築できるレンタルサーバが増えてきておりますが、同時にWebサーバやDBサーバに簡単にアクセスできる仕組みになってきております。
仮にレンタルサーバの管理画面に第三者がアクセスできてしまうと、WebサーバやDBサーバに簡単にアクセスできます。
従いまして、パスワード管理は特に慎重を期す必要があります。
WordPressにファイルベースでアクセス可能なエンドポイント
また、SSHやRDP(リモートデスクトップ)、FTPといった、ファイルベースでWebサーバ等に接続できるプロトコルも要注意です。
少なくとも、 SSHやRDP(リモートデスクトップ)、FTPといったファイルベースで遠隔操作が可能なプロトコルがどこからでも接続できる状態は、非常に危険です。
WordPressの管理画面にアクセスできるか?
次に重要なのが、WordPressの管理画面です。
WordPressの管理画面を乗っ取られた場合、記事情報や管理情報をすべて取得されてしまうリスクがあります。
特に最も危険なのは、 WordPress を利用してオンラインサロンを構築している場合です。オンラインサロンに登録しているあらゆる個人情報を不正アクセスされる可能性が高いです。
WordPressを守る!最低限のセキュリティ対策
では、WordPressを不正アクセスから守るにはどうすればよいのでしょうか?
最低でも、以下の対策を推奨いたします。
サーバ管理画面へのアクセスに対して、セキュリティを強化する。
まず、最初にすべきことは、サーバへのアクセスに対してアクセスできる人や場所を制限することです。例えば、
- 特定のIPからのみ接続できるようにする
- 2段階認証を導入する
といった対策を行うことで、第三者が簡単にサーバの管理画面にアクセスすることを防ぐことができます。
SSHやRDP、FTPのアクセスを制限する
次に実施すべきなのは、SSHやRDP、FTPによるサーバへのアクセスを制限することです。SSH、RDPやFTPは、仮に認証を通過してしまうと、サーバーの操作が簡単にできてしまいます。
少なくとも、 SSH、RDPやFTPは、 IP制限を導入して特定の場所以外アクセスできないように制限する必要があります。
WordPressの管理画面へのアクセスを制限する
最後に実施すべきなのは、Wordpressの管理画面へのアクセスを制限することです。少なくとも、
- ブルートフォース対策(複数回ログイン失敗時に、ログインをロックする)
- ログインURLの変更
- 2段階認証や画像認証の導入
といった対策が必要になります。場合によっては、特定の場所からのみ接続可能なIP制限を導入しても良いと思います。
簡単にWordPressのセキュリティ対策ができる、SiteGuardプラグイン
上記の様な対策の1つを簡単に実施できるのが、SiteGuardプラグインです。
SiteGuardは、日本のセキュリティ会社であるJP-Secureが開発したプラグインですので、非常に使いやすいプラグインです。
日本語対応もされておりますので、設定も簡単ですし、特に、
- 非ログインユーザーの管理ページアクセスの厳格化
- ログインページのURL変更
- 画像認証
- ログイン詳細エラーメッセージの曖昧化
- ブルートフォース対策(ログインロック)
- ログインアラート
- ログイン履歴の参照
等々、多くのセキュリティ対策を1度に実施することが可能です。
最後に
WordPressのセキュリティは、管理者が自分で実施する必要があります。
WEB制作会社のなかには、上記の様なセキュリティ対策を合わせて行ってくれるところもありますが、一般的な制作会社はそこまで責任もって管理してくれません。
万一不正アクセスがあっても、リスクを最小限にできるように、今からでもしっかりと対策しておきましょう。